home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / greenbk.txt

next >

Wrap

Text File  |  1996-09-03  |  408KB  |  5,238 lines

---

1.  
2.  
3. Integrating Information Security
4. {The Green Book}
5. {The Idaho Modules}
6.  
7.  
8.  
9. Center for Decision Support
10.  
11. Idaho State University
12. Center Report 162
13.  
14. Edited by
15. Corey D. Schou
16. The Center for Decision Support
17. and
18. James Frost
19. Simplot Decision Support Center
20.  
21.  
22.  
23.  
24. January 1994
25.  
26.  
27.  
28.  
29.  
30.  
31.  
32. Copyright 1989 1990, 1993, 1994
33. All Rights Reserved
34.  
35. Center for Decision Support
36. Information Security Materials
37.  
38.  
39. Integrating Information Security Report 162 (Velo Bind)    25.00
40. Integrating Information Security Report 162 (Three Hole)    25.00
41.  
42. DACUM II Report    10.00
43.   
44. Executive Briefing Overhead Masters    15.00
45.     Slides (35mm)    300.00
46.     Computerized Presentation    100.00
47.       Site License    CALL
48.     Video    CALL  
49. Functional Manager Overhead Masters    15.00
50.     Slides (35mm)    300.00
51.     Computerized Presentation    100.00
52.       Site License    CALL
53.     Video    CALL
54.  
55. Other Information Security presentations are available.
56.  
57.  
58. DACUM III Report 184
59. Please contact us about related materials. We may be able to provide custom Information  Security materials.
60. Center For Decision Support
61. Idaho State University
62. P.O. Box 4043
63. Pocatello, Idaho 83205-4043
64.  
65. Attn.: Corey D. Schou
66.  
67.  
68.  
69.  
70. Index    i
71. Preface    v
72. Introduction    vii
73. History    x
74.  
75. Module One
76. Introduction To Information Protection    2
77. Topic Outline    2
78. Annotated Outline    3
79. I.    Information As A Corporate Resource    3
80. II.    Basic Information Systems Security Problems    3
81. III.    Ethical Issues    3
82. IV.    Areas Of Information Systems Security Study    5
83. Teaching Considerations    6
84. Bibliography    6
85.  
86. Module Two
87. PC/Workstation Security    8
88. Topic Outline    8
89. Annotated Outline    9
90. I.    Ethical Use Of The Computer    9
91. II.    Computer Room Environment    9
92. III.    Physical Security.    9
93. V.    Security Training    11
94. Teaching Considerations    12
95. Bibliography    12
96. Module Three
97. Security Fundamentals    14
98. Topic Outline    14
99. Annotated Outline    16
100. I.    Planning    16
101. II.    Organizational Policies & Procedures    16
102. III.    Ethics And Professionalism    16
103. IV.    Personnel Security    19
104. V.    Physical Security    19
105. VI.    System Security    20
106. VII.    Threats And Vulnerability    21
107. VIII.    Data Security And Recovery    22
108. IX.    Control And Audit    22
109. X.    Costs And Benefits    23
110. Teaching Considerations    24
111. Bibliography    24
112.  
113.  
114.  
115.  
116. Module Four
117. Information Systems Security Laws And Legislation    27
118. Topic Outline    27
119. Annotated Outline    28
120. I.    Underlying Problems    28
121. II.    Laws As Tools For Computer Security    29
122. III.    Laws And Legislation As Controls For Computer Crime    31
123. Teaching Considerations    35
124. Bibliography    35
125.  
126. Module Five
127. System Security    37
128. Topic Outline    37
129. Annotated Outline    38
130. I.    Overview    38
131. II.    System Sensitivity    38
132. III.    Security Requirements    39
133. IV.    Levels Of Security    40
134. V.    Data Life Cycle    40
135. VI.    Sample Protection Plan    41
136. Teaching Considerations    42
137. Bibliography    42
138.  
139. Module Six
140. Communications Security    44
141. Topic Outline    44
142. Annotated Outline    45
143. I.    Overview    45
144. II.    Threats    45
145. III.    Countermeasures    46
146. IV.    Tradeoffs-Costs And Benefits    46
147. V.    Network Design    46
148. Teaching Considerations    47
149. Bibliography    47
150. Topic Outline    49
151.  
152. Module Seven
153. Corporate Security Management    49
154. Topic Outline    49
155. Annotated Outline    50
156. I.    Overview    50
157. II.    Development Of Security Program    50
158. III.    Risk Analysis    51
159. IV.    Contingency Planning    51
160. V.    Legal Issues For Managers    52
161. VI.    System Validation & Verification (Accreditation)    52
162. VII.    Information Systems Audit    52
163. VIII.    Computer Security Check List    52
164. Teaching Considerations    59
165. Bibliography    59
166.  
167. Module Eight
168. Introduction To Accounting Controls And EDP Auditing    62
169. Topic Outline    62
170. Annotated Outline    65
171. I.    Overview    65
172. II.    Roles    67
173. III.    Systems Cycle    68
174. IV.    General Internal Controls    69
175. V.    Access Controls    70
176. VI.    Input Controls    71
177. VII.    Communication Controls    73
178. VIII.    Processing Controls    74
179. IX.    Database Controls    75
180. X.    Output Controls    77
181. XI.    Evidence    79
182. XII.    Integration    83
183. Teaching Considerations    86
184. Bibliography    86
185. Module Nine
186. Creating Information Security Courses     89
187. Selected Readings    103
188. DACUM II Report    107
189. The Process    108
190. Outline For Literacy-INFOSEC Basics    113
191. Sample Overheads    117
192.  
193.  
194. PREFACE
195. Information is an organizational resource. Security of this resource within an organization is important. Frequently, the management of the organization does not take an active role in the protection of this resource nor do they understand the concept of trusted systems. The absence of active participation is sometimes based on ignorance of the actual value of the resource.
196.  
197. To overcome this ignorance, the education of leaders must be improved. This is an outline of information security course materials to be used, primarily, in a non technical curriculum. The following paragraphs provide some of the critical social focus for this course.
198.  
199. Near the beginning of the American experiment, one patriot said, "I have but one lamp by which my feet are guided and that is the lamp of experience. I have no way of judging of the future but by the past." How are we to avoid the pitfalls of the future in our Information Society or as participants in the Information Revolution? These terms describe extensions of the industrial revolution that has been molding the American Experiment for the last 200 years.
200.  
201. About one hundred fifty years ago Charles Dickens, in his novel Hard Times (1845), detailed the impact of some of the social and economic conditions being created by the industrial revolution. Dickens describes the dehumanization of the worker during this period of social upheaval and economic change. He shows the effects of management reacting to the workers as replaceable pieces or cogs of the physical system that they use to create their products. Management was not able, or willing, view these cogs as individuals. This is the first flicker of light in the lamp of experience.
202.  
203. In the last fifty years, we have seen the beginnings of a new industrial revolution. The Blue Collar worker initially welcomed job aids that increased his productivity and reduced his workload by adding a mechanical assist to his efforts. In many cases we have seen the typical Blue Collar worker replaced by an Iron Collar worker - automated assembly process or the robot. Since the Iron Collar worker neither bargains for wages, calls in sick, nor needs an endowed retirement program; this Iron Collar worker improves the bottom line performance and therefore is judged to be good for business.
204.  
205. When the human problems associated with the introduction of the Iron Collar worker are examined, we are given further justification by referring to the relief from repetitive tasks and the attendant quality of life improvement for the workers. This change is fine for those who still maintain their jobs or are able to be retrained; however, some individuals are not able to make the transition comfortably if at all. One should not call a halt to this progress; rather, managers should be educated to deal with the long range economic and human impact of their decisions while examining the bottom line.
206.  
207. Remembering Hard Times is important for the next generation since we are about to embark on a new series of socio-industrial changes. While Iron Collar workers spread throughout the industrial work place, the computer resource is spreading to the middle management class of the corporation. Currently the White Collar work force views the computer as a benign tool that supports his decision making process, reduces his workload and assists his intellectual efforts.
208.  
209. In the near future we may well see portions of the White Collar work force supplanted by the Silicon Collar worker - the computer and its associated support humans. The Silicon Collar worker is ideally suited for repetitive programmable decisions and actions and the attendant minimization of decisions at risk and uncertainty is a goal sought by management. The Silicon Collar worker needs neither stock options, Christmas bonuses, nor retirement plans. This Silicon Collar worker will impact the middle management class and their routine decision making more directly than any other change in this century and initially it will be more susceptible to being undermined by modern Luddites and saboteurs.
210.  
211. There is a chance we are beginning to see these modern Luddites already. Several years ago, James L. McKenney, through a series of articles in the Harvard Business Review talked about the existence of an information archipelago. The author specifies three islands - data processing, telecommunications and word processing. The archipelago he describes and its attendant bridges is critical to most computing and information related activities in the modern business. The bridges (networks) are critical to the success of the modern Silicon Collar Worker in that they carry the life blood - data.
212.  
213. Clifford Stoll in his recent book, The Cuckoo's Egg , describes the deep personal anger he felt when he discovered that someone was prying at the door of his computer and violating his privacy. This modern Luddite was breaking down the fabric of the network - the threads of trust that hold an information society together.
214.  
215. As practitioners and leaders in the field, we have input to the next generation and the institutions that educate them. Perhaps we should insist that in addition to the traditional technical subject areas in engineering, computer science and information systems, course material should include ethics, security and privacy, and perhaps even a bit or two on social and economic issues be included. We should see that these issues are not be relegated to the foundation courses of our academic institutions but should be woven into the intellectual fabric throughout the curriculum. Should we fail to do this weaving, the next generation may enter the latest phase of the industrial revolution ill equipped to deal with the broader issues that will confront them.
216.  
217. As we enter this new era, we should not forget that systems and networks are not made of printed circuit boards nor of wires nor of bits and pieces - they are made of people - individuals. Should we forget this we may perhaps develop a new Hard Times for a modern day Dickens to write about.
218.  
219.  
220. INTRODUCTION
221. To manage is to plan for, allocate and conserve resources. Information is a resource. It has the same characteristics of cost, value, and scarcity, as do the more familiar material, financial and human resources. The use of computers has provided a means to exploit the potential value of information a manner never before possible. It is easy to explain to management why other resources need protection; however, the information resource is frequently overlooked or is the 'stepchild'.
222. These course materials are designed to train managers to instruct the organization to
223. 1.    understand the resource - know thoroughly the nature and characteristics of the resource, including its potential and limitations;
224. 2.    maintain and conserve the resource - acquire, maintain, and conserve the quantity and quality of the resource needed by the organization;
225. 3.    exploit the resource - Develop the potential of the resource and exploit the potential to the fullest possible extent to meet the needs of the organization;
226. 4.    employ the resource - effectively and efficiently apply the resource to the activities of the organization; and
227. 5.    integrate the resource - effectively coordinate the use of the resource with the use of other resources to bring efficiently a desired result.
228. while providing adequate security for the resource.
229.  
230. To implement this curriculum, a series of eight modules dealing with information security was created. Each of the modules is designed to be an addition to existing courses in a business or information systems curriculum. In addition, segments of the modules may be combined to create specialized courses on information security. Figure one shows the relationship of the modules within the series. Level One courses are intended for the lower division students while Level Two and Three are for Juniors and Seniors respectively. There is a capstone course, Corporate Security Management, that summarizes many components of all other courses. For Accounting students, the module Introduction to Accounting Controls and EDP Auditing many function as a capstone course.
231.  
232. The reader should be aware that there is planned redundancy among the modules since one cannot plan for the actual implementation of these modules within a curriculum.
233.  
234. Module one (Introduction to Information Protection) is an introduction to information protection principles and provides basic security concepts for undergraduate general business majors and students enrolled in an introductory information systems course. Each major issue presented in this module is detailed further in its own module that can be supplemental to courses throughout a business and information systems curriculum. This module is designed to be used as part of a freshman or sophomore level Management Information Systems course, such as the recommended DPMA course CIS/86-1, (Introduction to Computer Information Systems.)
235.  
236. Module two (PC/Workstation Security) introduces essential concepts of personal information security and outlines components of an introductory course dealing with the basic security concepts of information processing. This module contains the fundamental knowledge for subsequent modules in this series and is intended to be supplemental to introductory courses in curricula for computers or information systems. Topics include ethics and professionalism, security and data control, computer room environment, PC/workstation security familiarization, and physical security.
237.  
238. Module three (Security Fundamentals) is introductory in nature and provides basic security concepts for undergraduate general business majors and specialized Information Systems Majors. This module outlines and describes the basic requirements for planning, organizing and managing security in an organization. Topics include personal and organizational ethics; hardware and software issues; security and threats to data; recovery, control and audit procedures; and corporate security costs and benefit identification. A bibliography and selected case studies are provided and may be used at the discretion of the instructor to expand any of these topics. This module might be included as part of a Junior level management information systems course or integrated as part of other business courses.
239.  
240. Module four (Information Security Law and Legislation) may be used in both Information Systems courses, as well as courses in the common body of knowledge, as defined by the American Assembly of Colleges and Schools of Business (AACSB). This module is intended to be part of a junior or senior level course in a Management Information Systems curriculum that covers the management aspects of information systems. For example, it might be included as a module in the DPMA Model Curriculum for Undergraduate Computer Information Systems courses CIS/86-18 (Information Resource Planning and Management) or CIS/86-14 (Computer Control and Audit). It also could be included as part of MIS or Legal Environment courses.
241.  
242. Module five (System Security) is the first of the senior level modules and addresses mainframe security considerations. The module defines advanced requirements for security and the criteria on which satisfaction of those requirements can be judged. Hardware, software, firmware, and procedures are considered as mechanisms to protect appropriately a system. The described process starts by defining the sensitivity of a system and proceeds through establishing criteria and evaluating the degree to which the criteria are met.
243.  
244. This module is intended to be used as part of a course in Systems Design and Development, System Management, or as an information security course. It may be taught either as an integrated part of instruction on the systems development life cycle or as a separate module. This module may be included in the DPMA Model Curriculum in CIS/86-14 (Computer Control and Audit) or CIS/86-18 (Information Resource Planning and Management).
245.  
246. Module six (Communications Security) is intended to be included in an undergraduate course on data communications and networking for information systems and business majors. Several perspectives could be chosen as the basis for this module: an example might be, a detailed technical perspective for students who are interested in designing data communication systems and networks.
247.  
248. However, this module is written from a management perspective for those students who want to become intelligent users of such systems or those who aspire to a management role in an organization that relies on data communications systems or networks to interconnect elements of its information processing systems, either internally or externally.
249.  
250. The module is designed to be added to an existing data communications course, or it could be added to a course in office automation. If the institution is using the DPMA Model Curriculum for undergraduate Computer Information Systems, then it could be added to CIS/86-15, (Distributed Intelligence and Communication Systems).
251.  
252. Module seven (Corporate Security Management) deals with top management and policy considerations. Responsibilities of managers vary, depending on their level in an organization, and this module introduces differences in responsibilities at various levels of management. The role of the System Security Officer (in organizations large enough to warrant a SSO) is discussed.
253.  
254. A corporate security management plan needs the involvement of all levels of management to ensure that the program is properly and thoroughly implemented. The program should clearly identify local, state, and federal legislation that defines responsibility to ensure that all members of the corporation understand and are able to implement a specified plan. Ultimately, the corporation is held responsible for the accuracy and integrity of corporate data.
255.  
256. This module is intended to be included as part of a course, such as the CIS/86-18 (Information Resource Planning and Management). Other courses, such as those specialized in security or data processing management concepts, might include this material, at least in outline. A Business Policy course that has a significant MIS component, could benefit from including this module as a case study or as part of examining the responsibilities of senior management to interact with the external environment.
257.  
258. Module eight (Introduction to accounting and auditing controls) is an introduction to accounting and auditing controls concepts intended for a broad variety of students in courses where an appreciation of such concepts is needed. The module outlines key accounting and auditing concepts and describes the various roles played by management, information systems professionals, internal auditors, and external auditors. It deals with management control, application control, evidence gathering and evaluation, and management of the EDP audit function. The module may be used in junior or senior level information systems courses or integrated in other business courses.
259.  
260.  
261. Figure 1
262. Curriculum Outline
263.  
264.  
265. HISTORY
266. These modules evolved from a workshop, sponsored by the Department of Defense and hosted by Idaho State University, held in June 1988 at Pocatello, Idaho. The workshop was conducted to develop appropriate information security modules suitable for integration into undergraduate curricula in colleges of business and also information systems programs.
267.  
268. The workshop was chaired by Jack Burgess, Assistant Professor of Information Systems, College of Business at Idaho State University. Participants included:
269. Philip Fites,
270. Data Processing Managers Association (DPMA);
271. Fites and Associates
272. Tom Richards,
273. College of Business, North Texas State University;
274. Corey D. Schou,
275. College of Business, Idaho State University;
276. Bruce E. Spiro,
277. Data Processing Managers Association (DPMA);
278. Claude E. Walston,
279. Dean, College of Information and Library Sciences,
280. University of Maryland; and
281. Robert T. Watts,
282. College of Business, Idaho State University.
283. The participants identified appropriate modules and produced module outlines that were then expanded and annotated. The modules identified include: Introduction to Information Protection, PC/Workstation Security, Security Fundamentals, Information Security Laws and Legislation, System Security, Communications Security, and Corporate Security Management.
284.  
285. Subsequently a module, Introduction to Accounting and Auditing Controls by Terry L. Campbell The Pennsylvania State University, Suzanne M. Spitzer Spectrum Consulting and Annette Moore, Idaho State University. Philip Fites contributed to the creation of the question bank that accompanies the modules. These questions draw heavily on his book Control and Security of Computer Information Systems published by W. H. Freeman/Computer Science Press. Jim Frost, Idaho State University, compiled the overhead projection materials.
286.  
287. Following group comments and revisions of the authors' products, this final version was edited by Corey Schou and Annette Moore of Idaho State University. It is available in both paper and magnetic form (MacWrite(tm), FullWrite Professional(tm), WordPerfect(tm), Microsoft Word(tm), and plain text files).
288.  
289. There is a separate module on ethics (John Kilpatrick, Idaho State University, Donald Madden LMA Video) and course materials for an information security course are currently under development. Additional materials may be available from:
290. Corey D. Schou, Ph.D.
291. Chairman, Computer Information Systems
292. Idaho State University
293. P.O. Box 4043
294. Pocatello, Idaho
295. 83205
296.  
297.  
298.  
299.  
300. Introduction to Information Protection
301.  
302.  
303.  
304.  
305.  
306.  
307. Revised Sunday, August 19, 1990
308.  
309.  
310.  
311.  
312.  
313.  
314. Center for Decision Support
315. College of Business
316. Idaho State University
317.  
318.  
319.  
320.  
321.  
322.  
323.  
324.  
325.  
326.  
327.  
328.  
329.  
330.  
331.  
332. Description:
333. This introductory module provides basic security concepts for undergraduate general business majors and students enrolled in an introductory information systems course. Each major issue presented in this module is detailed further in its own module, which can be supplemental to courses throughout the business and information systems curriculum. This module is designed to be used as part of a freshman or sophomore level Management Information Systems course, such as the recommended DPMA course CIS 86-1 (Introduction to Computer Information Systems).
334.  
335.  
336.  
337. Introduction to Information Protection
338. Objectives:
339. The two primary objectives of this module are to:
340. 1. introduce business and non-business majors to basic information security problems; and
341. 2. identify the primary areas that deal with information security.
342.  
343. Upon successful completion of this module the student will understand basic information security problems and will be able to identify areas where additional study may be needed.
344.  
345. Following this module, the student would progress to PC/Workstation Security module or the Security Fundamentals module that lays the foundation for advanced study in systems security.
346.  
347. Learning Objectives
348. Upon completion of this module, the student should be able to:
349. 1.    understand the need for security in an organization;
350. 2.    identify basic security problems;
351. 3.    understand ethical issues involved with the use of information systems security; and
352. 4.    identify major areas in security management for additional study.
353.  
354. Prerequisites
355. No previous study or lab experience is assumed. The PC/Workstation module may be taken before, concurrently, or following this module.
356. Topic Outline
357. I.    Information as a Corporate Resource
358.     A. Security As Part Of The Total Organization
359.     B. Understanding The Organization
360.     C. Identifying Sensitive Data
361.     D. Controlled Sharing Of Information And Resources
362. II.    Basic Information Systems Security Problems
363.     A. Natural Disasters
364.     B. Accidental Problems
365.     C. Malicious Threat
366. III.    Ethical Issues
367.     A. Responsible decision-making
368.     B. Confidentiality & Privacy
369.     C. Piracy
370.     D. Fraud & Misuse
371.     E. Liability
372.     F. Copyright
373.     G. Trade Secrets
374.     H. Sabotage
375. IV.    Areas of Information Systems Security Study
376.     A. PC/Workstation Security
377.     B. Security Fundamentals
378.     C. Information Security Laws & Legislation
379.     D. System Security
380.     E. Communications Security
381.     F. Corporate Security Management
382.  
383.  
384.  
385. ANNOTATED OUTLINE
386. I.    INFORMATION AS A CORPORATE RESOURCE
387. A.    Security as Part of The Total Organization
388. Information security is not simply software or hardware security, and it does not stand apart from the total organization. An organization's policies, plans and procedures may affect security needs, and security practices may affect those policies, plans or procedures. The important point is that a secure system is integral to the total organization.
389. B.    Understanding The Organization
390. If a secure system is part of the total organization, then one must understand the organization, its goals, objectives, policies and procedures. If the objectives of an organization are unclear, then implementing new technology will not help. If procedures are not secure, then new technology will not make them secure. Understanding the organization is the first step in planning for a secure system.
391. C.    Identifying Sensitive Data
392. After establishing a clear understanding of the organization's function and how it is to complete its objectives, the first step in planning for and developing a secure system is to identify sensitive data. Recognize specific levels of security and that each may not be equally valuable. Identifying sensitive data and determining their value before the fact is a most difficult task for any organization. Unfortunately for most Management Information Systems (MIS) directors, management will more easily recognize the true value of data after the data have been disclosed to unauthorized individuals and are compromised.
393. D.    Controlled Sharing of Information and Resources
394. Sharing of information and resources is increasingly possible through increased networking, communications and connectivity. As this data sharing increases, the problem of information security increases exponentially. The problem for management is one of encouraging increased productivity through technology while maintaining what will probably be an increasingly insecure system.
395. II.    BASIC INFORMATION SYSTEMS SECURITY PROBLEMS
396. A.    Natural Disasters
397. Natural disasters, such as floods, lightning, brown-outs, fire and earthquakes, are the most obvious security problems for most organizations. Since the source of these problems is generally uncontrollable, one must plan for the possibility. Physical location of computer systems, control of electrical surges or spikes and clean fire suppression methods are possible techniques to discuss when dealing with this topic. A pre-defined disaster plan, including appropriate off-site backup, helps to avoid regret.
398. B.    Accidental Problems
399. Many threats to a system result from unintentional errors created either by a user or by the system itself. Examples include the accidental disclosure of data, inadvertent modification or destruction of data, faulty software that may produce incorrect data, residual data left in the system and that may contaminate new data, and wrong parameters that get passed inappropriately. The most common forms of accidental threats are employee mistakes. On-going training programs, both formal and informal, can help prevent many of these problems.
400. C.    Malicious Threats
401. Malicious threats are deliberate attempts to circumvent or defeat the system's protection mechanisms, or exploit weaknesses in such mechanisms. A trapdoor is a "special element that when inserted in a program or system allows the intruder to bypass protective features safeguarding the secure functioning of a system." The Trojan horse technique of penetration "consists of supplying the computer with what is perceived appropriate and acceptable information, but in reality contains secret instructions for unauthorized behavior."
402.  
403. Users may tamper with data or programs, snoop or browse through a system or intentionally disclose data. A worm or virus may be inserted in a program and spread throughout the system. Malicious threats are the most difficult type of security problem to deal with. They may start from within or outside the organization.
404. III.    ETHICAL ISSUES
405.     The foundations of all secure systems are the moral principles and practices and the professional standards of all employees of the organization, i.e., while people are part of the solution, they are also most of the problem. The following issues are examples of security problems which an organization may have to deal with:
406. A.    Ethics and Responsible Decision-Making
407. The foundation of all security systems is formed by moral principles and practices of those people involved and the standards of the profession. That is, while people are part of the solution, they are also most the problem. Security problems with which an organization may have to deal include: responsible decision making, confidentiality, privacy, piracy, fraud & misuse, liability, copyright, trade secrets, and sabotage. It is easy to sensationalize these topics with real horror stories; it is more difficult to deal with the underlying ethical issues involved.
408.  
409. The student should be made aware of his individual responsibility in making ethical decisions associated with information security.
410. B    Confidentiality & Privacy
411. Computers can be used symbolically to intimidate, deceive or defraud victims. Attorneys, government agencies and businesses increasingly use mounds of computer generated data quite legally to confound their audiences. Criminals also find useful phony invoices, bills and checks generated by the computer. The computer lends an ideal cloak for carrying out criminal acts by imparting a clean quality to the crime.
412.  
413. The computer has made the invasion of our privacy a great deal easier and potentially more dangerous than before the advent of the computer. A wide range of data are collected and stored in computerized files related to individuals. These files hold banking information, credit information, organizational fund raising, opinion polls, shop at home services, driver license data, arrest records and medical records. The potential threats to privacy include the improper commercial use of computerized data, breaches of confidentiality by releasing confidential data to third parties, and the release of records to governmental agencies for investigative purposes.
414.  
415. The basic law that protects our privacy is the Fourth Amendment to the United States Constitution, which mandates that people have a right to be secure in homes and against unreasonable search and seizure. In addition, many laws have been enacted to protect the individual from having damaging information stored in computerized databases.
416. C.    Piracy
417. Microcomputer software presents a particular problem since many individuals are involved in the use of this software. Section 117 of the copyright laws, specifically the 1980 amendment, deals with a law that addresses the problem of backup copies of software. This section states that users have the right to create backup copies of their software. That is, users may legally create a backup copy of software if it is to be held in archive. Many software companies provide a free backup copy to users that precludes the need for to users purchase software intended to defeat copy protection systems and subsequently create copies of their software. If the software purchased is actually leased, you may in fact not even be able to make backup copies of the software. 
418.  
419. The distinction between leasing and buying is contained within the software documentation. The copyright statement is also contained in the software documentation. The copyright laws regarding leased material state that the leasor may say what the leaseholder can and cannot do with the software. So it is entirely up to the owner of the software as to whether or not users may make backup copies of the software. At a time when federal laws relating to copyright protection are evolving, several states are considering legislation that would bar unauthorized duplication of software.
420.  
421. The software industry is prepared to do battle against software piracy. The courts are dealing with an increasing number of lawsuits concerning the protection of software. Large software publishers have established the Software Protection Fund to raise between $500,000 and $1 million to promote anti-piracy sentiment and to develop additional protection devices.
422. D.    Fraud & Misuse
423. The computer can create a unique environment in which unauthorized activities can occur. Crimes in this category have many traditional names including theft, fraud, embezzlement, extortion, etc. Computer related fraud includes the introduction of fraudulent records into a computer system, theft of money by electronic means, theft of financial instruments, theft of services, and theft of valuable data.
424. E.    Liability
425. Under the UCC, an express warranty is an affirmation or promise of product quality to the buyer and becomes a part of the basis of the bargain. Promises and affirmations made by the software developer to the user about the nature and quality of the program can also be classified as an express warranty. Programmers or retailers possess the right to define express warranties. Thus, they have to be realistic when they state any claims and predictions about the capabilities, quality and nature of their software or hardware. They should consider the legal aspects of their affirmative promises, their product demonstrations, and their product description. Every word they say may be as legally effective as though stated in writing. Thus, to protect against liability, all agreements should be in writing. A disclaimer of express warranties can free a supplier from being held responsible for any informal, hypothetical statements or predictions made during the negotiation stages.
426.  
427. Implied warranties are also defined by the UCC. These are warranties that are provided automatically in every sale. These warranties need not be in writing nor do they need to be verbally stated. They insure that good title will pass to the buyer, that the product is fit for the purpose sold, and that it is fit for the ordinary purposes for which similar goods are used (merchantability)..
428. F.    Patent and Copyright Law
429. A patent can protect the unique and secret aspect of an idea. It is very difficult to obtain a patent compared to a copyright (please see discussion below). With computer software, complete disclosure is required; the patent holder must disclose the complete details of a program to allow a skilled programmer to build the program. Moreover, a United States software patent will be unenforceable in most other countries.
430.  
431. Copyright law provides a very significant legal tool for use in protecting computer software, both before a security breach and certainly after a security breach. This type of breach could deal with misappropriation of data, computer programs, documentation, or similar material. For this reason the information security specialist will want to be familiar with basic concepts of to copyright law.
432.  
433. The United States, United Kingdom, Australia, and other countries have now amended or revised their copyright legislation to provide explicit laws to protect computer program. Copyright law in the United States is governed by the Copyright Act of 1976 that preempted the field from the states. Formerly, the United States had a dual state and federal system. In other countries, such as Canada, the courts have held that the un-revised Copyright Act is broad enough to protect computer programs. In many of these countries the reform of copyright law is actively underway.
434. G.    Trade Secrets
435. A trade secret protects something of value and usefulness. This law protects the unique and secret aspects of ideas, known only to the discoverer or his confidants. Once disclosed the trade secret is lost as such and can only be protected under one of the following laws. The application of trade secret law is very important in the computer field, where even a slight head start in the development of software or hardware can provide a significant competitive advantage.
436. H.    Sabotage
437. The computer can be the object of attack in computer crimes such as the unauthorized use of computer facilities, alternation or destruction of information, data file sabotage and vandalism against a computer system. Computers have been shot, stabbed, short-circuited and bombed.
438.  
439. It is easy to sensationalize these topics with real horror stories; it is more difficult to deal with the underlying ethical issues involved.
440. IV.    AREAS OF INFORMATION SYSTEMS SECURITY STUDY
441. Students may be introduced to several major areas of study. Each area listed in the topic outline is elaborated on as a separate module in this document. The purpose of this introductory module is to help students recognize some security problems inherent with each of the major areas of study and to encourage them to learn more about information security throughout their undergraduate program.
442. A.    PC/Workstation Security
443. Students are introduced to basic ethical issues associated with using PC's, environmental and physical considerations for security, data integrity, and security training concepts. The PC/Workstation module may be used before, concurrently, or immediately following the "Introduction To Information Protection" module.
444. B.    Security Fundamentals
445. The Security Fundamentals module, following the "Introduction To Information Protection" and "PC/Workstation" modules, lays the foundation for specialized advanced study about systems security that is covered in subsequent modules. An important aspect of this module is its emphasis on understanding the need for data security within an organization and the integration of a security program as part of the basic corporate goals, policies and procedures. Personal and corporate ethical issues are discussed.
446. C.    Information Security Laws and Legislation
447. This topic should start with a discussion of underlying problems, such as information theft, privacy and fraud, and leads to the security laws and legislation that continue to evolve. Students review state and federal legislation and contracts associated with information security and crime. An important objective is for students to have a "general working understanding of the inter-relationship between various areas of law and security system design."
448. D.    System Security
449. This module primarily addresses mainframe security considerations and goes into great detail about:
450. 1.    system criticality, or the affect upon the organization if the system were to become unavailable
451. 2.    system sensitivity, and the extent to which it is important to protect the system and
452. 3.    security policy, accountability and assurance.
453. E.    Communications Security
454. A basic understanding of networking, communications and connectivity is helpful when dealing with communications security. The objective of this module is to investigate data protection in data communications systems and networks from a management perspective. This area of study is vital because of the increasing connectivity between PC's, workstations, minicomputers and mainframe computers, whether within a room, building or around the world. As the integration of hardware continues, the threat to data and information assets and resources grows rapidly. A description of protection mechanisms and countermeasures to these threats is included, plus cost/benefit tradeoffs are considered.
455. F.    Corporate Security Management
456. This is the capstone module in this series of undergraduate teaching modules about information security. The focus is upon the need for a corporate security program and the responsibilities of managers at different levels within the organization. Risk analysis and contingency planning are discussed. A primary objective is the development of a corporate security management plan.
457.  
458. TEACHING CONSIDERATIONS
459. A.    Suggested Schedule:
460.     The following sample module plan is based on the offering of one to three hours of lectures.
461. 1.    Information as a corporate resource    0.2 to 0.5 hours
462. 2.    Basic Security Problems    0.5 to 1.0 hour
463. 3.    Ethical Issues    0.3 to 1.0 hour
464. 4.    Major Areas of Information Systems Study    0.5 to 1.0 hour
465.  
466. B.    Class and Homework Exercises:
467. Following are examples of possible class/paper exercises that might enhance the lecture material for the module.:
468. 1. Find/report on current data security and computer crime problems. Use current journals and newspapers. What comes closest to your community; to you?
469. 2. Choose one ethical issue. Discuss it from the standpoint of
470. a. an organization,
471. b. an individual, and
472. c. the government.
473. 3. List six major areas of information security study and for each one, give three reasons why it is important.
474.  
475. Bibliography
476. Schou, C.D., Fites, P.E., & Burgess, J.D., "Corporate Security Management," in Information Security Modules, Department of Defense, 1989.
477. Consider this the capstone security module in this document. Emphasis is on the management of a corporate level data security program.
478.  
479. Denning, D.E., Cryptography and Data Security, Addison-Wesley, 1983.
480. Presently this is one of the principal textbooks in computer security. Good as a background reference.
481. Walston, C.E., "Communications Security," in Information Security Modules, Department of Defense, 1989.
482. Whiteside, T., Computer Capers, Mentor, 1978.
483. The problem of data security to our attention through many vignettes of some early "tales of electronic thievery, embezzlement, and fraud." Whiteside's stories can be used with reports of current problems, for example from The Wall Street Journal or Fortune magazine.
484. Johnson, Douglas W., Computer Ethics: A Guide for the New Age, The Brethren Press, 1984.
485. This low-cost, readable paperback book introduces critical issues, including: personal data, decision-making and identifying, building and maintaining ethics in a computer society. This book addresses the question of ethics in the indiscriminate use of the personal computer. The concept of what ethics are is proposed and suggestions are made for establishing a code for personal computer use.
486. Computer Professionals for Social Responsibility, Inc., P.O. Box 717, Palo Alto, CA 94301, 415/322-3778.
487. CPSR is an organization for computer professionals concerned about social issues. There are active chapters around the world. They produce a newsletter.
488. Mandell, Steven L., Computer Data Processing, and the Law, West Publishing Company, Minnesota, 1984.
489. This book has been designed especially for the functional aspects of data processing management.
490. Davis, G. G., Software Protection, Practical and Legal Steps to Protect and Market Computer Programs, Van Nostrand Reinhold, New York, 1985.
491. An academic discussion of intellectual property rights, copyright, unresolved problems with copyright, software warranties, export controls, and infringement remedies.
492. Burgess, J.D. & Watts, R.T., "PC/Workstation Security," in Information Security Modules, Department of Defense, 1989.
493. This module gives an introduction to security problems that one may have when working with a stand-alone PC or workstation (networked PCs or workstations are NOT considered here). This material is useful, for a one-person business as well as individual user who is part of a larger organization.
494. Richards, T., Schou, C.D. & Fites, P.E. "Information Systems Security Laws and Legislation," in Information Security Modules, Department of Defense, 1989.
495. Richards, et. al. review topics, timely laws and legislation about computer security as it relates to the individual and the organization.
496. Spiro, Bruce E. & Schou, Corey D., "System Security," in Information Security Modules, Department of Defense, 1988.
497. "Systems Security" is an upper level module that gives a detailed review of security issues and the integration of these details into an organizational security program.
498.  
499.  
500.  
501.  
502.  
503. PC/Workstation Security
504.  
505.  
506.  
507.  
508. Revised Sunday, August 19, 1990
509.  
510.  
511.  
512.  
513.  
514.  
515. Center for Decision Support
516. College of Business
517. Idaho State University
518.  
519.  
520.  
521.  
522.  
523.  
524.  
525.  
526.  
527.  
528.  
529.  
530.  
531.  
532.  
533.  
534.  
535.  
536.  
537.  
538.  
539.  
540.  
541.  
542. Description
543. This module introduces essential concepts of personal information security and outlines components of an introductory course dealing with the basic security concepts of information processing. This module contains the fundamental knowledge for subsequent modules in this series and is intended to be supplemental to introductory courses in curricula for computers or information systems. Topics include ethics and professionalism, security and data control, computer room environment, PC/workstation security familiarization, and physical security.
544.  
545.  
546.  
547. PC/Workstation Security
548. Objectives:
549. The objective of this module is to introduce the fundamental concepts of personal computer security.
550. Learning Objectives
551. Upon completion of this module, the student should be able to:
552. 1. understand the basic concepts of ethics associated with the use of a personal computer or workstation.
553. 2. identify factors associated with controlling the computer room environment.
554. 3. identify basic requirements for providing the physical security of personal computers and workstations.
555. 4. identify methods and techniques for providing the security and integrity of data.
556. 5. identify the need for security training.
557.  
558. Prerequisites: NONE
559. This material is intended to be used in conjunction with an introduction to data processing course (including lab) such as the DPMA course CIS/86-1.
560. NOTE:
561. The term workstation as used in this module refers only to the function of the workstation as a stand alone device. There is no intention to include the added functions of the workstation in its specialized function to support engineering.
562.  
563. Topic Outline
564. I.    Ethical Use of the Computer
565. II.    Computer Room Environment
566.     A. Temperature
567.     B. Foreign Materials
568.     C. Radio Frequency Interference
569.     D. Power Surges or Brownouts
570. III.    Physical Security
571.     A. Location and Construction
572.     B. Computer Room Access
573.     C. Physical Control
574. IV.    Data Security
575.     A. Software Control
576.     B. Backup Procedures
577.     C. Recovery Techniques
578.     D. Data Encryption and Access Control
579. V.    Security Training
580.  
581.  
582.  
583. ANNOTATED OUTLINE
584. I.    Ethical Use of the Computer
585. There are several ways of identifying and deciding ethical issues. One of the most common ways of categorizing these approaches is the rules vs. consequences criteria. The first argues that our actions should be guided by general rules or principles: do not harm; tell the truth; do not steal; respect for persons. The second argues that we should assess the "rightness" of an action or decision by the consequences that will likely result. Most commonly the second approach identifies some "value" or values, and measures the actions by the extent to which these values are or are not enhanced, or progress made toward certain goals, such as a better life for all.
586.  
587. On reflection is should be clear that there is no consensus about which of these is the more appropriate. In the ensuing discussion, arguments and positions will be presented using both of these approaches
588.  
589. The magnitude of computer use in our society dictates that ethical standards or guidelines be developed.
590.  
591. Any code of computer ethics should stipulate who monitors what is put into personal computers. Ethical guidelines are required for decisions of what data are allowable and legitimate for personal computers.
592.  
593. Students should understand that distributing unauthorized copies of a computer program it is theft. It is also wrong to break a security code to a bank, a school's grading system, or the telephone company.
594.  
595. Ethics relate to those who sell computer hardware and software, as well. Not all computer vendors deal adequately with the responsibilities associated with a sale. Very few, if any, supply sufficient training, service, education, and proper use of the computer.
596.  
597. The groups that need to be concerned about the development and teaching of ethics include users, suppliers and trainers in personal computers.
598.  
599. II.    Computer Room Environment
600. A.    Temperature
601. While a personal computer is somewhat insensitive to its environment, some attention to the environment will prolong the life and increase the safety of data stored in the machine. A rule of thumb to apply when considering the physical environment is, "If you are comfortable, the computer is comfortable."
602. B.    Foreign Materials
603. Establish and enforce firm, consistent policies regarding the presence of food, drink, smoke, and dust in the computer room.
604. C.    Radio Frequency Interference (RFI)
605. All electronic equipment produce radiation and emanations of varying frequencies. Take care that the computer will operate in the environment that contains emanations from other electronic devices and that the computer will not interfere with other electronic devices.
606. If care is not taken, RFI may be received outside the computer facility and, by sophisticated means, be used to determine the nature of the data being processed by the computer.
607. D.    Power Surges and Brownouts.
608. Computers are susceptible to sudden surges or drops in electrical line voltage. Depending on the importance of the data being processed, efforts should be made to shield the computer from these variations. Electronic devices ranging from inexpensive surge processors to uninterruptible power supplies are available to provide the level of protection required.
609. III.    Physical Security.
610. Protection against theft, changes, or unauthorized access to the personal computer or workstation is difficult. Consider the following protective actions:
611. A.    Location and Construction
612. Evaluate potential locations for the computer room. Consider the importance of having direct access from the outside and the need to protect windows. Decide if windows should have bars or electronic detection devices. Should there be a system to control keys and other access devices?
613.  
614. For example, a particular situation might require heavy doors with dead bolts. If the doors are not new, they should have new locks. Seal windows at ground level or protect them with metal bars. Additionally, consider alarms and detection devices.
615. B.    Computer Room Access.
616. Depending on organizational need, restrict access to rooms containing microcomputers to specifically authorized personnel. Consider special precautions for stand alone computers, e.g., those on an employees desk.
617. C.    Physical Control
618. Protect microcomputers with lockable equipment enclosures, lockable power switches, fasteners, and securing devices. Consider devices such as those that sound an alarm when equipment is moved or disconnected from a wall socket.
619.  
620. One example of an advanced device, such as one used by the Department of the Navy, employs a crystal oscillator with various broadcasting frequencies embedded in the microcomputer. Antennas located throughout the area can be used to track any movement of the microcomputer.
621.  
622. Standardized inventory and control forms may be used throughout any organization interested in controlling hardware, software, or data. These forms should contain information about the location of the microcomputer, who is responsible, and any changes made since the original installation. Centrally record the physical location and configuration of each microcomputer.
623.  
624. Some standard devices normally associated with a microcomputer, such as a mouse, internal cards and wires, do not lend themselves well to the above procedures. These devices might be subject to external controls, such as check-out, removal from the machine on a daily basis, etc.
625.  
626. It is particularly important to protect floppy disks from contaminants, unauthorized access, destruction and damage. Procedures should ensure that all diskettes (floppy disks), be labeled before use and stored in a secure place when not in use. One method of protecting diskettes against theft is to hide a signaling device (such as those used in libraries) in the jacket cover of the floppy.
627. .c3IV.    Data Security
628. A.    Software Control
629. Most popular operating systems used on microcomputers lack adequate security control. Unless measures are taken, this lack of control can lead to serious security violations. The measures may range from use of simple passwords to electronic devices, both of which restrict logon/logoff to authorized persons.
630.  
631. Unless duly authorized, copying computer programs should not be allowed. In addition to the legal problems, program libraries and/or data files become susceptible to sabotage (for example, by the insertion of a computer virus). Further, monitor the use of utility programs to make sure the contents of other programs and stored data have not been changed. Many of these programs can be executed without leaving a trace of their activities.
632. B.    Backup Procedures.
633. Backup procedures are needed to protect against major loss of files or programs and minor problems such as disk read errors. Delineate and enforced a corporate policy to safeguard against potential disasters. Identify the programs and data to be stored, the media on which the files are to be stored, the frequency of backup and who is responsible. The disk backup procedure should be classified as either complete or partial backup. A complete backup treats the disk as a whole and copies it in its entirety to the backup medium (i.e., no attempt is made to identify individual files). A partial backup identifies files to be copied and transfers them to the backup device. Frequently, the partial backup is used to collect those files that have been changed since the last backup.
634. C.    Recovery Techniques.
635. Utilities, such as Norton's Utilities or PCTools, are useful tools to recover files from a disk that has had the File Allocation Table (FAT) damaged or has had files deleted.
636. D.    Data Encryption and Access Control.
637. Various security products have been developed to protect sensitive data stored on microcomputers. These products, sometimes called environment control packages, provide for encryption (encoding) and system/file access control but, also, password protection and audit trail capability. In most cases the program must reside on a hard disk and a system manager must control passwords and system specifications. The program may control the entire system operation from logon to logoff.
638.  
639. A typical product of this type would include these functions:
640.     Boot Protection - Intruders are not able to bypass the hard disk and boot the system from drive A.
641.     Password Verification - Each user must enter a password before access to the system is permitted.
642.     User Segregation - While all users may be able to use any program on the disk, each user's personal files are inaccessible to others.
643.     Definable User Lockout - Users may be restricted from using programs not essential to their jobs.
644.     Data Encryption - Data encryption for individual files or for all files may be selected.
645.     Audit Trail - The audit trail can be customized to include unauthorized access attempts and all system manager functions.
646.  
647. V.    Security Training
648. While most data losses are the result of human error, losses may be minimized by using a continuous program of formal and informal training. Managers must ensure that users develop an attitude that, when something goes wrong, the problem will be reported immediately (i.e., reported problems should be seen as a positive rather than negative gesture). The sooner a security problem has been identified and reported with a complete and correct description, the greater the possibility that the problem can be corrected.
649.  
650.  
651. TEACHING CONSIDERATIONS
652. A.    Suggested Schedule:
653.     The following sample module plan is based on the offering of three to six hours of lectures.
654. 1.    Ethics.........................................................    0.2 to.5 hour
655. 2.    Computer Room Environment..................    0.2 to.5 hour
656. 3.    Physical Security......................................    0.2 to.5 hour
657. 4.    Data Security...........................................    0.5 to 1 hour
658. 5.    Security Training...................    0.1to0.2 hour
659.  
660. B.    Homework and Lab Exercises
661. Following are examples of Class /Lab/ Paper exercises to enhance the lecture material for the module.
662. 1. Visit the microcomputer facility. Interview users and staff, asking their opinions about the ethical considerations discussed in class.
663. 2. Examine the computer laboratory, identifying potential problems with physical security.
664. 3. Design a security backup procedure for a personal computer/ workstation.
665. 4. Recover a 'lost' file/program from a disk.
666.  
667. Bibliography
668. Johnson, Douglas W., Computer Ethics: A Guide for the New Age, The Brethren Press, 1984.
669. This low-cost, readable paperback book introduces critical issues, including: personal data, decision-making and identifying, building and maintaining ethics in a computer society. This book addresses the question of ethics in the indiscriminate use of the personal computer. The concept of what ethics are is proposed and suggestions are made for establishing a code for personal computer use.
670.  
671. Department of Defense, "Personal Computer Security Considerations," NCSC-WA-002-85, Dec. 1985
672. This publication provides a general discussion of some issues pertinent to microcomputer security in the home and business environment.
673.     Department of Defense
674.     9800 Savage Road
675.     Ft. Meade, MD 20755-6000
676.     Stop S94
677.  
678. DATAPRO Research Corp., "Data Pro Reports on Information Security", 1988
679. This is a collection of reports dealing with all aspect of information security. Reports IS30-xxx-xxx are primarily concerned with the subject of microcomputer security.
680. DATAPRO Research Corp.
681. Delran, NJ 08075 (800) 328-2776
682.  
683. Richards, T., Schou, C.D. & Fites, P.E. "Information Systems Security Laws and Legislation," in Information Security Modules, Department of Defense, 1989.
684. Richards, et. al. review topics, timely laws and legislation about computer security as it relates to the individual and the organization.
685.  
686.  
687.  
688.  
689.  
690. Security Fundamentals
691.  
692.  
693.  
694.  
695. Revised Sunday, August 19, 1990
696.  
697.  
698.  
699.  
700.  
701. Center for Decision Support
702. College of Business
703. Idaho State University
704.  
705.  
706.  
707.  
708.  
709.  
710.  
711.  
712.  
713.  
714.  
715.  
716.  
717.  
718.  
719.  
720.  
721.  
722.  
723.  
724.  
725.  
726.  
727.  
728.  
729. Description:
730. This module is introductory in nature and provides basic security concepts for undergraduate general business majors and specialized Information Systems Majors. This module outlines and describes the basic requirements for planning, organizing and managing security in an organization. Topics include personal and organizational ethics; hardware and software issues; security and threats to data; recovery, control and audit procedures; and corporate security costs and benefit identification. A bibliography and selected case studies are provided and may be used at the discretion of the instructor to expand any of these topics. This module might be included as part of a Junior level management information systems course or integrated as part of other business courses.
731.  
732. Security Fundamentals
733. Objectives:
734. The objective of this module is to take the business and information systems major beyond the basic information protection principles and deal with security fundamentals that lay the foundation for specialized advanced study in systems security. Upon successful completion of this module, the student will understand the underlying fundamentals of information security and will be prepared for other course material in the areas of security laws and legislation, communications, advanced systems security and corporate security management.
735. Learning Objectives
736. Upon completion of this module, the student should be able to:
737. 1.    understand the need for security in an organization and identify sensitive resources;
738. 2.    recognize organizational security mechanisms and basic goals, and recognize the need for communicating policies and procedures within the organization;
739. 3.    understand ethical issues involved with the use of information systems;
740. 4.    identify societies and organizations essential to professional development;
741. 5.    identify procedures associated with establishing a personnel security program;
742. 6.    identify procedures associated with establishing a physical security program;
743. 7.    recognize significant security areas other than those covered explicitly in this module;
744. 8.    define threat, vulnerability and control in an organization;
745. 9.    recognize procedures necessary for data security and recovery;
746. 10.    identify the components of an audit trail; and
747. 11.    identify the costs and benefits associated with secure systems.
748.  
749. Prerequisite:
750. Completion of the first two modules, "Introduction to Information Protection" and "PC/Workstation Security" would be useful. Some basic knowledge about computer information systems and basic business courses is desirable. The student should have some computer laboratory experience.
751. Topic Outline
752. I.    Planning
753.     A.    Security As Part Of The Total Organization
754.     B.    Understanding The Organization
755.     C.    Identifying Sensitive Data
756.     D.    Controlled Sharing Of Information And Resources
757.     E.    Specific Needs:
758.         1.    Secrecy
759.         2.    Integrity
760.         3.    Availability
761.     F.    Analysis & Design
762. II.    Organizational Policies & Procedures
763.     A.    Scope Of Security Mechanisms
764.         1.    Administrative
765.         2.    Procedural
766.         3.    Physical
767.         4.    Operational
768.         5.    Technical
769.     B.    Basic Goals
770.         1.    Prevention
771.         2.    Deterrence
772.         3.    Containment
773.         4.    Detection
774.         5.    Recovery
775.     C.    Written Management Policies & Procedures
776.         1.    Documentation
777.         2.    Manuals
778. III.    Ethics And Professionalism
779.     A.    Ethics
780.         1.    Responsible Decision-Making
781.         2.    Confidentiality & Privacy
782.         3.    Piracy
783.         4.    Fraud & Misuse
784.         5.    Liability
785.         6.    Copyright
786.         7.    Trade Secrets
787.         8.    Sabotage
788.     B.    Laws And Legislation
789.     C.    Professionalism
790.         1.    National Computer Security Center
791.             National Computer Security Conference
792.         2.    National Bureau Of Standards
793.         3.    The Computer Security Institute
794.         4.    Computer Professionals For Social Responsibility and CPSR Newsletter
795.         5.    Data Processing Management Association
796.         6.    Security Management Magazine
797.         7.    Licensing And Certification
798. IV.    Personnel Security
799.     A.    Personnel Policies
800.         1.    Hiring Practices
801.         2.    Training
802.         3.    Access Rights And Privileges
803.         4.    Rules For Granting And Revoking Privileges
804.         5.    Separation Of Privileges And Roles
805.         6.    Adverse Actions
806.         7.    Termination Practices
807. V.    Physical Security
808.     A.    Location
809.         1.    Access Versus Security
810.         2.    Rooms, Doors, Windows, Keys
811.     B.    Environment
812.         1.    Radio Frequency Interference [RFI]
813.         2.    Cooling
814.         3.    Cabling
815.         4.    Power
816. VI.    System Security
817.     A.    PC & Workstations
818.     B.    Database
819.     C.    Networks And Communications
820.     D.    Operating Systems
821.     E.    Application Software
822.     F.    Systems Security
823.     G.    Systems Architecture
824.     H.    Audit And Control
825.     I.    Corporate Security Management
826. VII    Threats And Vulnerability
827.     A.    Natural Disasters
828.         1.    Fire
829.         2.    Flood
830.         3.    Brown-Outs
831.         4.    Lightning
832.     B.    Accidental
833.         1.    Disclosure Of Data
834.         2.    Modification/Destruction Of Data
835.         3.    Faulty Software
836.         4.    Residual Data
837.         5.    Wrong Parameters
838.     C.    Malicious
839.         1. Trap Doors
840.         2. Trojan Horse
841.         3. Tampering
842.         4. Snooping Or Browsing
843.         5. Intentional Disclosure Of Data
844.         6. Viruses
845. D.    Locus Of Attack
846.         1. Terminals
847.         2. Hosts
848.         3. Front-Ends
849.         4. Gateways
850.         5. Links
851.         6. Packet-Switches
852.         7. PC/Workstations
853. VIII.    Data Security And Recovery
854.     A.    Floppy Diskettes
855.     B.    Hard Disks
856.     C.    Back-Up
857.     D.    Recovery Principles
858.     E.    Utilities
859.     F.    Security Training
860.         1.    User Training
861.         2.    User Help
862.     G.    Encryption
863. IX.    Control And Audit
864.     A.    Logon Authentication
865.     B.    Access Control
866.     C.    Audit
867.         1. Event Classes
868.         2. Audit Selectivity
869.         3. Management Of Audit Trails
870.     D.    Relationship Between Operations, Management & Audit
871. X.    Costs And Benefits
872.     A.    Accessibility Versus Secrecy
873.     B.    Costs
874.         1.    Money & Time For Development, Installation, Procurement, & Maintenance Of Security Measures
875.         2.    Special Skills
876.         3.    Performance
877.         4.    Productivity
878.         5.    Training Time
879.         6.    Compatibility - Of Equipment, Procedures...
880.     C.    Benefits
881.         1.    Precise Definition Of Requirements
882.         2.    Value Of Information
883.         3.    Peace Of Mind
884.         4.    Productivity
885.         5.    Protection From Legal Liability
886.         6.    Protection From Loss Of Assets/Company
887.         7.    Good-Will
888.         8.    Privacy
889. a. Individual
890. b. Corporate
891. b. Governmental
892.  
893. ANNOTATED OUTLINE
894. I.    Planning
895. A.    Security As Part Of The Total Organization
896. Information security is not simply software or hardware security; it does not stand apart from the total organization. An organization's policies, plans and procedures may affect security needs and security practices may affect those polices, plans or procedures. The important point is that a secure system is integral part to total organization.
897. B.    Understanding The Organization
898. If a secure system is to be part of the total organization, then one must first understand the organization, its goals and objectives, policies and procedures. If an organization's objectives are unclear, implementing new technology will not help. If an organization's procedures are not secure, new technology will not make it any more secure. Understanding the organization is the first step in planning for a secure system.
899. C.    Identifying Sensitive Data
900. After establishing a clear understanding of the organization's function and how it is to accomplish its objectives, the first step in a secure system is to identify sensitive data. Recognize specific levels of security and that each may not be equally valuable (e.g., no need to spend $1,000 to protect a hammer). Identifying sensitive data and determining their value before the fact is a most difficult task for any organization. Unfortunately for most MIS directors, management will more easily recognize the true value of data after the data are compromised.
901. D.    Controlled Sharing of Information and Resources
902. Sharing information and resources is increasingly possible through networking, communications and connectivity. As this sharing increases, the problems of information security increase exponentially. The problem for management is one of both encouraging increased productivity using technology while maintaining what will probably be an increasingly insecure system.
903. E.    Specific Needs
904. Security addresses three principal needs: secrecy, integrity, and availability. Secrecy involves preventing the unauthorized disclosure of information and unauthorized use of information and resources. Integrity involves preventing the unauthorized creation, modification or deletion of information and ensuring the consistency of information. Availability involves preventing the unauthorized delay or denying the use of information and resources.
905. F.    Analysis and Design
906. Formalizing a secure system begins with appropriate organizational analysis and identification of sensitive data and procedures for handling those data. An appropriate place to introduce this material in more detail is in an information systems analysis and design course.
907. II.    Organizational Policies & Procedures
908.     It is critical that policies procedures be loped which reflect the significance of the information resource
909. A.    Scope Of Security Mechanisms
910. Security policies specify the rules that govern how information is to be protected; security mechanisms enforce these policies. Since a secure system is one that should be part of the total organization, the scope of the security mechanism may include all the administrative, procedural, physical, operational and technical aspects of the organization.
911. B.    Basic Goals
912. Basic goals of a secure system are:
913. 1.    Prevention includes those organizational, operational and physical methods thought necessary to keep a system secure from both internal and external penetration;
914. 2.    Deterrence includes those policies, procedures and actions designed to discourage penetration of the system;
915. 3.    Containment focuses on keeping sensitive data within the system;
916. 4.    Detection means to find the nature, existence, presence or fact of the system penetration;
917. 5.    Recovery is the action necessary to restore a system's computational capability and data files after a system failure or penetration. A disaster plan is part of recovery.
918. C.    Written Management Policies & Procedures
919. Once sensitive data are identified, and policies and procedures for handling sensitive data have been established, these policies and procedures must be communicated to those who are affected. A variety of methods including training and a security manual may be used for communicating this information.
920. III.    Ethics and Professionalism
921. There are several ways of identifying and deciding ethical issues. One of the most common ways of categorizing these approaches is the rules vs. consequences criteria. The first argues that our actions should be guided by general rules or principles: do not harm; tell the truth; do not steal; respect for persons. The second argues that we should assess the "rightness" of an action or decision by the consequences that will likely result. Most commonly the second approach identifies some "value" or values, and measures the actions by the extent to which these values are or are not enhanced, or progress made toward certain goals, such as a better life for all.
922.  
923. On reflection is should be clear that there is no consensus about which of these is the more appropriate.
924.  
925. The foundation of all security systems is formed by moral principles and practices of those people involved and the standards of the profession. That is, while people are part of the solution, they are also most the problem. Security problems with which an organization may have to deal include: responsible decision making, confidentiality, privacy, piracy, fraud & misuse, liability, copyright, trade secrets, and sabotage. It is easy to sensationalize these topics with real horror stories; it is more difficult to deal with the underlying ethical issues involved.
926. A.    Ethics
927. 1.    Ethics and Responsible Decision-Making
928. The foundation of all security systems is formed by moral principles and practices of those people involved and the standards of the profession. That is, while people are part of the solution, they are also most the problem. Security problems with which an organization may have to deal include: responsible decision making, confidentiality, privacy, piracy, fraud & misuse, liability, copyright, trade secrets, and sabotage. It is easy to sensationalize these topics with real horror stories; it is more difficult to deal with the underlying ethical issues involved.
929.  
930. The student should be made aware of his individual responsibility in making ethical decisions associated with information security.
931. 2.    Confidentiality & Privacy
932. Computers can be used symbolically to intimidate, deceive or defraud victims. Attorneys, government agencies and businesses increasingly use mounds of computer generated data quite legally to confound their audiences. Criminals also find useful phony invoices, bills and checks generated by the computer. The computer lends an ideal cloak for carrying out criminal acts by imparting a clean quality to the crime.
933.  
934. The computer has made the invasion of our privacy a great deal easier and potentially more dangerous than before the advent of the computer. A wide range of data are collected and stored in computerized files related to individuals. These files hold banking information, credit information, organizational fund raising, opinion polls, shop at home services, driver license data, arrest records and medical records. The potential threats to privacy include the improper commercial use of computerized data, breaches of confidentiality by releasing confidential data to third parties, and the release of records to governmental agencies for investigative purposes.
935.  
936. The basic law that protects our privacy is the Fourth Amendment to the United States Constitution, which mandates that people have a right to be secure in homes and against unreasonable search and seizure. In addition, many laws have been enacted to protect the individual from having damaging information stored in computerized databases.
937. 3.    Piracy
938. Microcomputer software presents a particular problem since many individuals are involved in the use of this software. Section 117 of the copyright laws, specifically the 1980 amendment, deals with a law that addresses the problem of backup copies of software. This section states that users have the right to create backup copies of their software. That is, users may legally create a backup copy of software if it is to be held in archive. Many software companies provide a free backup copy to users that precludes the need for to users purchase software intended to defeat copy protection systems and subsequently create copies of their software. If the software purchased is actually leased, you may in fact not even be able to make backup copies of the software. The distinction between leasing and buying is contained within the software documentation. The copyright statement is also contained in the software documentation. The copyright laws regarding leased material state that the leasor may say what the leaseholder can and cannot do with the software. So it is entirely up to the owner of the software as to whether or not users may make backup copies of the software. At a time when federal laws relating to copyright protection are evolving, several states are considering legislation that would bar unauthorized duplication of software.
939.  
940. The software industry is prepared to do battle against software piracy. The courts are dealing with an increasing number of lawsuits concerning the protection of software. Large software publishers have established the Software Protection Fund to raise between $500,000 and $1 million to promote anti-piracy sentiment and to develop additional protection devices.
941. 4.    Fraud & Misuse
942. The computer can create a unique environment in which unauthorized activities can occur. Crimes in this category have many traditional names including theft, fraud, embezzlement, extortion, etc. Computer related fraud includes the introduction of fraudulent records into a computer system, theft of money by electronic means, theft of financial instruments, theft of services, and theft of valuable data.
943. 5.    Liability
944. Under the UCC, an express warranty is an affirmation or promise of product quality to the buyer and becomes a part of the basis of the bargain. Promises and affirmations made by the software developer to the user about the nature and quality of the program can also be classified as an express warranty. Programmers or retailers possess the right to define express warranties. Thus, they have to be realistic when they state any claims and predictions about the capabilities, quality and nature of their software or hardware. They should consider the legal aspects of their affirmative promises, their product demonstrations, and their product description. Every word they say may be as legally effective as though stated in writing. Thus, to protect against liability, all agreements should be in writing. A disclaimer of express warranties can free a supplier from being held responsible for any informal, hypothetical statements or predictions made during the negotiation stages.
945.  
946. Implied warranties are also defined by the UCC. These are warranties that are provided automatically in every sale. These warranties need not be in writing nor do they need to be verbally stated. They insure that good title will pass to the buyer, that the product is fit for the purpose sold, and that it is fit for the ordinary purposes for which similar goods are used (merchantability)..
947. 6.    Patent and Copyright Law
948. A patent can protect the unique and secret aspect of an idea. It is very difficult to obtain a patent compared to a copyright (please see discussion below). With computer software, complete disclosure is required; the patent holder must disclose the complete details of a program to allow a skilled programmer to build the program. Moreover, a United States software patent will be unenforceable in most other countries.
949.  
950. Copyright law provides a very significant legal tool for use in protecting computer software, both before a security breach and certainly after a security breach. This type of breach could deal with misappropriation of data, computer programs, documentation, or similar material. For this reason the information security specialist will want to be familiar with basic concepts of to copyright law.
951.  
952. The United States, United Kingdom, Australia, and many other countries have now amended or revised their copyright legislation to provide explicit copyright laws to protect computer program. Copyright law in the United States is governed by the Copyright Act of 1976 that preempted the field from the states. Formerly, the United States had a dual state and Federal system. In other countries, such as Canada, the courts have held that the un-revised Copyright Act is broad enough to protect computer programs. In many of these countries the reform of copyright law is actively underway.
953. 7.    Trade Secrets
954. A trade secret protects something of value and usefulness. This law protects the unique and secret aspects of ideas, known only to the discoverer or his confidants. Once disclosed the trade secret is lost as such and can only be protected under one of the following laws. The application of trade secret law is very important in the computer field, where even a slight head start in the development of software or hardware can provide a significant competitive advantage.
955. 8.    Sabotage
956. The computer can be the object of attack in computer crimes such as the unauthorized use of computer facilities, alternation or destruction of information, data file sabotage and vandalism against a computer system. Computers have been shot, stabbed, short-circuited and bombed.
957. B.    Laws and Legislation
958. The types and numbers of security laws and legislation at all governmental levels are expanding rapidly. Often, we forget that such legislation may affect each of us, as well as the organization. For more information see module four: "Information Systems Security Laws and Legislation".
959.  
960. The following items should be discussed in terms of both Ethics and Law. Where do Ethics and Law converge? Are they the same? The foundations of all secure systems are the moral principles and practices and the professional standards of all employees of the organization, i.e., while people are part of the solution, they are also most of the problem. The following issues are examples of security problems which an organization may have to deal with:
961. C.    Professionalism
962. Students should be encouraged to become involved professionally while they are in school and to continue their professional involvement throughout their career. Several societies and professional organizations are concerned with security, including:
963. 1.    The Computer Security Institute
964. 2.    Computer Professionals for Social Responsibility
965. 3.    Data Processing Management Association
966. 4.    Security Management Magazine
967. 5.    Licensing and Certification
968.     a. Institute For Certification of Computer Professionals
969. b.    IISSCC (ISC2)
970. In addition, there are two government agencies actively involved in the professionalism. The first is the National Computer Security Center that hosts the National Computer Security Conference each year. The second is NIST that has an outreach charter. Discuss Costs and benefits of professional participation.
971. IV.    Personnel Security
972. Most security problems, whether accidental or malicious, begin with people; of these people, by far, most of them come from within the organization. The foundation for dealing with people problems is to try to eliminate the potential for problems before they happen. Accomplish this by anticipating where personnel might cross paths with secure data and by contemplating the consequences. Formalize the results of this analysis in the personnel section of the security policy and procedures manual and communicate the results to those people involved. Each of the items listed below, from hiring to termination, becomes a significant part of a secure system.
973. A.    Hiring Practices
974. Always perform background investigations of employees before hiring them. One should perform some form a background investigation.
975. B.    Training
976. C.    Access Rights And Privileges
977. D.    Rules For Granting And Revoking Privileges
978. E.    Separation of Privileges and Roles
979. F.    Adverse Actions
980. G.    Termination Practices
981.  
982. This segment of the module might be expanded upon in a personnel management course.
983. V.    Physical Security
984. Ideally planning for physical security begins with an evaluation of potential locations for the computing system and of sensitive data flow both internally and externally. One may get a great buy on a building with large glass windows on Main Street in Beirut, but from a security standpoint is it a good deal? As with all security issues, identify the level of data security needed and the cost/benefits before arriving at the appropriate decision. In class discussions consider the following.
985. A.    Location
986. The location of the information processing function has an impact on security system design.
987. 1. Access versus security
988. Access control is another important countermeasure to provide network security. This is achieved by identifying the privileges of a user to access information or use the services provided by elements of the network and to administer the operation of the process to insure that the user can only access and use what he or she has been granted permission.
989.  
990. Various security products have been developed to protect sensitive data stored on microcomputers. These products, sometimes called environment control packages, provide for encryption (encoding) and system/file access control but, also, password protection and audit trail capability. In most cases the program must reside on a hard disk and a system manager must control passwords and system specifications. The program may actually control the entire system operation from logon to logoff.
991.  
992. A typical product of this type would include these functions:
993.     Boot Protection - Intruders are not able to bypass the hard disk and boot the system from drive A.
994.     Password Verification - Each user must enter a password before access to the system is permitted.
995.     User Segregation - While all users may be able to use any program on the disk, each user's personal files are inaccessible to others.
996.     Definable User Lockout - Users may be restricted from using programs not essential to their jobs.
997.     Data Encryption - Data encryption for individual files or for all files may be selected.
998.     Audit Trail - The audit trail can be customized to include unauthorized access attempts and all system manager functions.
999. 2.    Rooms, Doors, Windows, Keys
1000. a.    Location and Construction
1001. Evaluate potential locations for the computer room. Consider the importance of having direct access from the outside and the need to protect windows. Decide if windows should have bars or electronic detection devices. Should there be a system to control keys and other access devices?
1002.  
1003. For example, a particular situation might require heavy doors with dead bolts. If the doors are not new, they should have new locks. Seal windows at ground level or protect them with metal bars. Additionally, consider alarms and detection devices.
1004. b.    Computer Room Access.
1005. Depending on organizational need, restrict access to rooms containing microcomputers to specifically authorized personnel. Consider special precautions for stand alone computers, e.g., those on an employees desk. Resource sharing systems, remote terminals should be available only to selected individuals. This access may be controlled by one or more of the following:
1006. 1)    Locked doors.;
1007. 2)    Posted guards;
1008. 3)    Other approved restraints.
1009. c.    Physical Control
1010. Protect microcomputers with lockable equipment enclosures, lockable power switches, fasteners, and securing devices. Consider devices such as those that sound an alarm when equipment is moved or disconnected from a wall socket.
1011.  
1012. One example of an advanced device, such as one used by the Department of the Navy, employs a crystal oscillator with various broadcasting frequencies embedded in the microcomputer. Antennas located throughout the area can be used to track any movement of the microcomputer.
1013.  
1014. Standardized inventory and control forms may be used throughout any organization interested in controlling hardware, software, or data. These forms should contain information about the location of the microcomputer, who is responsible, and any changes made since the original installation. Centrally record the physical location and configuration of each microcomputer.
1015.  
1016. Some standard devices normally associated with a microcomputer, such as a mouse, internal cards and wires, do not lend themselves well to the above procedures. These devices might be subject to external controls, such as check-out, removal from the machine on a daily basis, etc.
1017.  
1018. It is particularly important to protect floppy disks from contaminants, unauthorized access, destruction and damage. Procedures should ensure that all diskettes (floppy disks), be labeled before use and stored in a secure place when not in use. One method of protecting diskettes against theft is to hide a signaling device (such as those used in libraries) in the jacket cover of the floppy.
1019. 1)    One should locate the media library in an area secure from explosion or other dangers.
1020. 2)    Recall that security includes backup file systems at a secondary location for both the programs and the associated documentation. Essential programs, software systems, and associated documentation of programs in the library are located in a locked vault or a secured area.
1021. B.    Environment
1022. Control of the environment a fundamental issue in information security.
1023. 1.    Radio Frequency Interference (RFI)
1024. All electronic equipment produce radiation and emanations of varying frequencies. Take care that the computer will operate in the environment that contains emanations from other electronic devices and that the computer will not interfere with other electronic devices.
1025.  
1026. If care is not taken, RFI may be received outside the computer facility and, by sophisticated means, be used to determine the nature of the data being processed by the computer.
1027. 2.    Cooling
1028. While a personal computer is somewhat insensitive to its environment, some attention to the environment will prolong the life and increase the safety of data stored in the machine. A rule of thumb to apply when considering the physical environment is, "If you are comfortable, the computer is comfortable."
1029. 3.    Cabling
1030. Cables should be routed to minimize both RFI and unauthorized personnel. Cables and Cableways should be protected from both fire and water damage.
1031. 4.    Power Surges and Brownouts.
1032. Computers are susceptible to sudden surges or drops in electrical line voltage. Depending on the importance of the data being processed, efforts should be made to shield the computer from these variations. Electronic devices ranging from inexpensive surge processors to uninterruptible power supplies are available to provide the level of protection required.
1033. VI.    System Security
1034. Other significant sections of an information system must be considered when developing and maintaining a secure system. Most items listed below are dealt with in separate security modules. The appropriate place to deal with these detailed aspects of a secure system is in a separate course for each of these topics.
1035.  
1036. When using this basic module, remind students about the importance of security in each of the major areas listed below.
1037. A.    PC & Workstations
1038. B.    Database
1039. C.    Networks and Communications
1040. D.    Operating Systems
1041. E.    Application Software
1042. F.    Systems Security
1043. G.    Systems Architecture
1044. H.    Audit and Control
1045. I.    Corporate Security Management
1046. Ultimately these areas must be considered together as a system.
1047. VII.    THREATS AND VULNERABILITY
1048. A.    Natural Disasters
1049. Disasters can take all shapes and forms; natural disasters, like those listed, are common security problems because one has no control over the original cause of the problem. Preparing for disaster is a vital part of a disaster recovery or contingency plan. Examples of Natural Disasters that should be discussed are:
1050. 1.    Fire
1051. The threat of fire should not be under estimated. One should provide specific site documentation for fire risk and exposure. This documentation should contain at a minimum:
1052. a.    The construction techniques that demonstrate the fire resistance of the building containing the system. Raised floors and ceilings, curtains, rugs, furniture, and drapes should be from non combustible materials.
1053. b.    The procedures used to manage the paper and other combustible supplies for the computer facilities. In addition, this should document the control of inflammable or dangerous activities in areas surrounding the computer room.
1054. c.    The storage of magnetic media outside the computer room.
1055. d.    The periodic training of operators in fire fighting techniques and assigned responsibilities in case of fire.
1056. e.    The use of water for fire protection is usually advised. The two major forms of protection are.
1057. 1)    Automated carbon dioxide. If so, do all personnel have training in the use of gas masks and other safety devices.
1058. 2)    Halogenated agents
1059. 2.    Flood
1060. The potential for flood should be minimized by locating computer equipment above the flood plane. Another source of flood damage is the water distribution and fire protection systems. Water should not flow through pipes above the computer facility.
1061. 3.    Brown-outs
1062. Computers are susceptible to sudden surges or drops in electrical line voltage. Depending on the importance of the data being processed, efforts should be made to shield the computer from these variations. Electronic devices ranging from inexpensive surge processors to uninterruptible power supplies are available to provide the level of protection required.
1063. 4.    Lightning
1064. Adequate isolation and grounding should be provided for both the computer equipment and for the power supply.
1065. B.    Accidental Acts (Threats)
1066. Many threats to a system result from unintentional errors created either by a user or by the system itself. The most common forms of accidental threats are caused by employee mistakes, frequently resulting from poor training and improper use of tools. Possible results include unintentional damage to the system, modification or destruction of user programs or data, disclosure of sensitive information, or residual data that the user or management cannot find. On-going training programs, both formal and informal, can help prevent many of these problems. At a minimum the following should be discussed:
1067. 1.    Disclosure of data
1068. 2.    Modification/Destruction of data
1069. 3.    Faulty software
1070. 4.    Residual data
1071. 5.    Wrong parameters
1072. C.    Malicious Acts (Threats)
1073. These threats are the result of deliberate attempts to circumvent or defeat the systems' protection mechanisms or to exploit the weaknesses in such mechanisms. Many entertaining anecdotes illustrate the items listed. All too often, however, it is easy to overlook the ethical, legal and potentially damaging implications of such activities. The following malicious acts should be supplemented from the current news when appropriate:
1074. 1.    Trap doors
1075. A trap door is an embedded segment of code which allow one to circumvent the normal security or administrative protection of a system.
1076. 2.    Trojan Horse
1077. The Trojan horse technique of penetration "consists of supplying the computer with what is perceived appropriate and acceptable information, but in reality contains secret instructions for unauthorized behavior."
1078. 3.    Tampering
1079. Systems should be designed such that the data are protected from unauthorized changes or modification.
1080. 4.    Snooping or browsing
1081. One should design systems such that user access is contained to data and information for which they have a need.
1082. 5.    Intentional disclosure of data
1083. 6.    Viruses
1084. Computer viruses are particularly new and dangerous form of active intrusion. These computer programs infiltrate a computer system and attack the operating system, application programs, and data in the same way a cancer virus or retro viruses attack the human system. They can lie dormant for a time, hidden from the user or operator of the system, before they become active. By the time they are discovered, a great deal of damage may have occurred and much data may have been destroyed and lost. Viruses are composed of three parts:
1085. a.    A mission component (such as to delete files, send data to a certain user, etc.);
1086. b.    A trigger mechanism (which activates at a specific time or with the occurrence specific event, e.g., the person's name not being on the payroll list); and
1087. c.    A self-propagating component (whereby it attaches itself to files, programs, or whatever the creator of the virus is in search of).
1088.  
1089. The threat from viruses increases when interconnected systems are involved because the virus can be injected into one element and quickly spread to other interconnected elements or have access to the infected element.
1090. D.    Locus of Attack
1091. The locus of attack is a place or places from which an attack upon a system may originate. The locus of attack becomes increasing complex as a system grows through networking, communications and connectivity. Additional material should be introduced in a networking and communications course. Each item listed provides an example of potential vulnerability of sensitive data.
1092. 1.    Terminals
1093. Terminals are frequently in less well controlled facilities. Plans should be made for passwords and physical interlocks to minimize the terminal as a source of information compromise.
1094. 2.    Hosts
1095. 3.    Front-ends
1096. 4.    Gateways
1097. The gateway from another system should be protected carefully. One should not rely on the security of the distal end of the link.
1098. 5.    Links
1099. 6.    Packet-switches
1100. 7.    PC/workstations
1101. PC/workstations are frequently in less well controlled facilities. A workstation may harbor software that at some time in the future may attack your security system. Plans should be made for passwords and physical interlocks to minimize the workstation as a source of information compromise.
1102. VIII.    Data Security and Recovery
1103. Students need to know that data security and recovery procedures exist, but most of all that a useful procedure for every user is the practice of making backup copies of all significant data. Security systems for those backup copies are often forgotten. Basic handling and care of floppy diskettes is a beginning point for the novice user.
1104.  
1105. Understanding data storage and recovery techniques using commercial software utilities is fundamental for regular users of personal computers. Prevent lost data by training users to use equipment properly and to identify the exact sequence of events that happened before something went wrong. One should emphasize the importance of a bound log book. This is often a great aid to those who must "undo" the problem. For more sensitive data, consider encryption techniques.
1106.  
1107. IX.    Control and Audit
1108. The audit trail is a permanent record of every transaction that has taken place in a system. Who, when, where, and what are requirements for an audit trail and are necessary for a secure system. Control of the audit trail determines the success of the system. Audit trails may be required by law or company regulation, and may be used for backup and recovery or an analysis of errors. In data security they can be used for detecting security violation and as a means for security-violation deterrence. Discuss the relationship between operations, management and the audit function.
1109.  
1110. X.    Costs and Benefits
1111. The issue of data security can be reduced to the desire for data accessibility by an individual versus the need for data secrecy by an organization. Analysis of organizational data needs compared with its sensitive data analysis report is one starting point for doing a cost-benefit analysis. One method for doing this is a risk matrix model. Information assets can be compared with data threats and vulnerability. The value of the data is its worth in case of loss. The obvious difficulties of interpretation do not preclude the use of this method to help in the decision-making process. The following are important issues for discussion.
1112. A.    Accessibility Versus Secrecy
1113. If information is to be used, it must be accessible or users will not avail themselves of it. If it is too available, it may be distributed to unauthorized individuals.
1114. B.    Costs
1115. 1.    Money and time for development, installation, procurement, and maintenance of security measures
1116. 2.    Special skills
1117. 3.    Performance
1118. 4.    Productivity
1119. 5.    Training time
1120. 6.    Compatibility - of equipment, procedures,...
1121. C.    Benefits
1122. 1.    Precise definition of requirements
1123. 2.    Value of information
1124. 3.    Peace of mind
1125. 4.    Productivity
1126. 5.    Protection from legal liability
1127. 6.    Protection from loss of control of assets/company
1128. 7.    Good-will
1129. 8.    Privacy
1130. a.    Individual
1131. b.    Corporate
1132. c.    Governmental
1133.  
1134.  
1135.  
1136. TEACHING CONSIDERATIONS
1137. A.    Suggested Schedule:
1138. The following sample module plan is based on the offering of six to nine hours of lectures with outside lab and homework time. To cover adequately each area in this module, integrate the material into other business and information systems courses.
1139. 1.    Planning.........................................................    0.5 hour
1140. 2.    Organizational Policies and Procedures........    1.0 hour
1141. 3.    Ethics and Professionalism..............................    0.5 hour
1142. 4.    Personnel Security.........................................    0.5 hour
1143. 5.    Physical Security...........................................    0.5 hour
1144. 6.    System Security.............................................    0.5 to 1 hour
1145. 7.    Threats and Vulnerability..............................    0.5 to 1 hour
1146. 8.    Data Security and Recovery..........................    0.5 to 1 hour
1147. 9.    Control and Audit..........................................    0.5 hour
1148. 10.    Costs and Benefits.........................................    0.5 to 1 hour
1149.  
1150. B.    Homework and Lab Exercises:
1151. Following are examples of exercises to enhance the lecture material for this module:
1152. 1.    Class/Paper exercises:
1153. a.    Brainstorm and graph the flow of data in an organization then identify sensitive resources;
1154. b.    List organizational security mechanisms that might be used to control the sensitive resources in (a).
1155. c.    Take the position of the "bad guy" and justify the ethical standpoint of "why you went wrong."
1156. d.    Identify corporate policies and procedures for dealing with sensitive resources, and show how these policies and procedures might be communicated to the appropriate personnel.
1157. 2.    Lab exercise - Visit the microcomputer lab and identify:
1158. a.    What is GOOD about security. Why?
1159. b.    What is POOR about security. Why?
1160.  
1161. Bibliography
1162. Schou, C.D., Fites, P.E., & Burgess, J.D., "Corporate Security Management," in Information Security Modules, Department of Defense, 1989.
1163. Consider this the capstone security module in this document. Emphasis is on the management of a corporate level data security program.
1164. Fites, Philip E., Martin P. J. Kratz, and Alan F. Brebner, Control and Security of Computer Information Systems, W. H. Freeman/Computer Science Press, September. 1988.
1165. A textbook intended to support college level courses in computer security for technicians and accountants, or to serve as a reference for computer law courses. Contains considerable detail on the material mentioned in this module. A useful reference as well.
1166. Computer Security Institute, Computer Security Handbook: Computer Security Institute, updated yearly.
1167. This publication is a compilation of timely sensitivity related articles and monographs. Chapter headings include Managing Security, Protecting the Data Center Communication Security, Disaster Recovery Planning, and Auditing. A good general reference of timely information.
1168. The Computer Security Institute publishes The Computer Security Journal and a computer security handbook. Computer Security Institute, 360 Church Street, North Borough, MA. 01532, (508) 393-2600.
1169. Johnson, Douglas W., Computer Ethics: A Guide for the New Age, The Brethren Press, 1984.
1170. This low-cost, readable paperback book introduces critical issues, including: personal data, decision-making and identifying, building and maintaining ethics in a computer society. This book addresses the question of ethics in the indiscriminate use of the personal computer. The concept of what ethics are is proposed and suggestions are made for establishing a code for personal computer use.
1171. Computer Professionals for Social Responsibility, Inc., P.O. Box 717, Palo Alto, CA 94301, 415/322-3778.
1172. CPSR is an organization for computer professionals concerned about social issues. There are active chapters around the world. They produce a newsletter.
1173. Mandell, Steven L., Computer Data Processing, and the Law, West Publishing Company, Minnesota, 1984.
1174. This book has been designed especially for the functional aspects of data processing management.
1175. Davis, G. G., Software Protection, Practical and Legal Steps to Protect and Market Computer Programs, Van Nostrand Reinhold, New York, 1985.
1176. An academic discussion of intellectual property rights, copyright, unresolved problems with copyright, software warranties, export controls, and infringement remedies.
1177. Richards, T., Schou, C.D. & Fites, P.E. "Information Systems Security Laws and Legislation," in Information Security Modules, Department of Defense, 1989.
1178. Richards, et. al. review topics, timely laws and legislation about computer security as it relates to the individual and the organization.
1179. Institute For Certification of Computer Professionals, 2200 E. Devon Avenue, Suite 268, Des Plaines, IL 60018. 312/299-4227
1180. This organization administers professional certificate programs and is sponsored by thirteen other professional organizations.
1181. DATAPRO Research Corp., Data Pro Reports on Information Security, 1988
1182. This is a collection of reports dealing with all aspect of information security. Reports IS30-xxx-xxx are primarily concerned with the subject of microcomputer security.
1183. DATAPRO Research Corp.
1184. Delran, NJ 08075 (800) 328-2776
1185.  
1186. Spiro, Bruce E. & Schou, Corey D., "System Security," in Information Security Modules, Department of Defense, 1988.
1187. A detailed review of security issues and the integration of these details into an organizational security program.
1188. Walston, Claude, and Lisa Hinman, Communications Security IDA Memorandum security breach dealing with possible misappropriation of data, computer programs blueprints, plans, laboratory notes or similar material.
1189. Whiteside, T., Computer Capers, Mentor, 1978.
1190. Many vignettes of some early "tales of electronic thievery, embezzlement, and fraud" that brought the problem of data security to our attention. These stories can be used with reports of current problems, for example from The Wall Street Journal or Fortune magazine.
1191. Voydock, V. and Kent, S., "Security Mechanisms in High-Level Network Protocols," ACM Computing Surveys, Vol. 15, No. 2, June 1983, pp. 135-171.
1192. Threats, cryptographic controls, and use of end-to-end encryption in networks.
1193. Denning, D.E., Cryptography and Data Security, Addison-Wesley, 1983.
1194. Presently this is one of the principal textbooks in computer security. Good as a background reference.
1195. Burgess, J.D. & Watts, R.T., "PC/Workstation Security," in Information Security Modules, Department of Defense, 1989.
1196. This module gives an introduction to security problems that one may have when working with a stand-alone PC or workstation (networked PCs or workstations are NOT considered here). This material is useful, for a one-person business as well as individual user who is part of a larger organization.
1197. National Computer Security Center, "A Guide to Understanding AUDIT in Trusted Systems", NCSC-TG-001-87, 1987. Department of Defense, 9800 Savage Road, Fort George G. Meade, MD 20755-6000
1198. The guidelines described in this document provide a set of good practices related to the use of auditing in automatic data processing systems used for processing classified and other sensitive information.
1199.  
1200.  
1201.  
1202.  
1203.  
1204.  
1205. Information Systems Security: Laws and Legislation
1206.  
1207.  
1208.  
1209.  
1210.  
1211. Revised Sunday, August 19, 1990
1212.  
1213.  
1214.  
1215.  
1216.  
1217.  
1218. Corey D. Schou, Ph.D.
1219. Center for Decision Support
1220. College of Business
1221. Idaho State University
1222. Philip E. Fites, MBA, CSP, CDP
1223. Data Processing Management Association
1224.  
1225.  
1226.  
1227.  
1228.  
1229.  
1230.  
1231.  
1232.  
1233.  
1234.  
1235.  
1236.  
1237.  
1238.  
1239.  
1240.  
1241.  
1242.  
1243. Description
1244. This module may be used in both Information Systems courses, as well as courses in the common body of knowledge, as defined by the American Assembly of Colleges and Schools of Business (AACSB). This module is intended to be part of a junior or senior level course in a Management Information Systems curriculum that covers the management aspects of information systems. For example, it might be included as a module in the DPMA Model Curriculum for Undergraduate Computer Information Systems courses CIS/86-18 (Information Resource Planning and Management) or CIS/86-14 (Computer Control and Audit). It could also be included as part of MIS or Legal Environment courses.
1245.  
1246. Information Systems Security: Laws and Legislation
1247. Objectives:
1248. This module addresses some of the legal specifics that relate to information security and liability. Because computer laws are changing rapidly, the professional working in information security, who makes contact with the law is strongly advised to obtain knowledgeable legal advice.
1249.  
1250. The purpose of this module is to provide a basic framework for understanding the role of law in planning, implementing and sustaining information security systems. The information specialist must understand a number of basic concepts related to diverse areas of law in order to more fully appreciate the design, implementation and execution of a truly comprehensive information security program. This module does not purport to provide specific legal advice about any particular situation.
1251.  
1252. Obviously one module cannot hope to address all areas of law that might be relevant to the information security manager. Local variations of general principles and application of law relating to possession and control of real property, the torts of false arrests, malicious prosecution, the tort libel, slander, conspiracy to injure, interference with advantageous business relationships, conversion, and such other general areas cannot be adequately dealt with in this module. The reader should review current introductory texts, periodicals, court cases and legislation in appropriate areas of law. Selected references appear at the end of this module.
1253.  
1254. Learning Objectives
1255. Upon completion of this module, the student should be able to:
1256. 1.    understand the interrelationship between various areas of law and security system design;
1257. 2.    provide a general analysis of security situations involving aspects of copyright law;
1258. 3.    provide a general analysis of security situations involving aspects of terms of license agreements;
1259. 4.    provide a general analysis of security situations involving aspects of obligations of confidence or other aspects of trade secrets law;
1260. 5.    conduct a basic analysis, review and assessment of terms of non-disclosure agreements;
1261. 6.    analyze and review computer crime legislation applicable in a particular jurisdiction against the backdrop of computer and information crime legislation in other jurisdictions.
1262.  
1263. Prerequisite:
1264. A basic understanding of computer concepts, business concepts and business law is required.
1265. Topic Outline
1266. I.    The Underlying Problem
1267.     A.    Theft of Hardware and data, Copying Software
1268.     B.    Fraud
1269.     C.    Physical Abuse
1270.     D.    Misuse of Information
1271.     E.    Issues of Adjudication and Regulation
1272. II.    Laws as Tools for Information Security
1273.     A.    Privacy Laws and Legislation
1274.     B.    Intellectual Property Laws
1275.         Trade Secrets Law
1276.         Patent Law
1277.         Copyright Law
1278.         Trademark Law
1279.     C.    Federal Laws
1280.     D.    State Statutes
1281.     E. DPMA Model Computer Crime Bill
1282. III.    Laws and Legislation as Legal Options to Control Computer Crime
1283.     A.    License Agreements
1284.     B.    Intellectual Property Rights
1285.     C.    Employee Non-Disclosure Considerations
1286.     D.    Contracts
1287.     E.    Warranties for Software and Hardware
1288.  
1289. ANNOTATED OUTLINE
1290. I.    UNDERLYING PROBLEMS
1291. A.    Theft of Hardware and Data
1292. When computers were first introduced some thirty years ago, business and government were quick to make use of their enormous potential as an information processing machine. About the same time, a number of enterprising individuals also saw the potential of these machines for personal gain and began to match their wits against them and find ways to use the computer for criminal purposes. The average armed robbery nets about $9,000 and the average computer fraud totals about $450,000. This is a high yield, low risk crime.
1293.  
1294. One area of computer crime is the theft of hardware and software. The outright theft of hardware and software is often reported and identified as the prime motive for a crime. For example, in one recent case over $300,000 worth of computer equipment was stolen using phony invoices. In some instances only parts of the computer are targeted. A number of DEC computer installations were recently hit by a rash of break-ins that result in the theft of VAX printed circuit boards. One haul consisted of 22 boards worth about $450,000.
1295. B.    Fraud
1296. The computer can create a unique environment in which unauthorized activities can occur. Crimes in this category have many traditional names including theft, fraud, embezzlement, extortion, etc. Computer related fraud includes the introduction of fraudulent records into a computer system, theft of money by electronic means, theft of financial instruments, theft of services, and theft of valuable data.
1297. C.    Physical Abuse
1298. The computer can be the object of attack in computer crimes such as the unauthorized use of computer facilities, alternation or destruction of information, data file sabotage and vandalism against a computer system. Computers have been shot, stabbed, short-circuited and bombed.
1299. D.    Misuse of Information and Privacy Issues
1300. Computers can be used symbolically to intimidate, deceive or defraud victims. Attorneys, government agencies and businesses increasingly use mounds of computer generated data quite legally to confound their audiences. Criminals also find useful phony invoices, bills and checks generated by the computer. The computer lends an ideal cloak for carrying out criminal acts by imparting a clean quality to the crime.
1301.  
1302. The computer has made the invasion of our privacy a great deal easier and potentially more dangerous than before the advent of the computer. A wide range of data are collected and stored in computerized files related to individuals. These files hold banking information, credit information, organizational fund raising, opinion polls, shop at home services, driver license data, arrest records and medical records. The potential threats to privacy include the improper commercial use of computerized data, breaches of confidentiality by releasing confidential data to third parties, and the release of records to governmental agencies for investigative purposes.
1303.  
1304. The basic law that protects our privacy is the Fourth Amendment to the United States Constitution, which mandates that people have a right to be secure in homes and against unreasonable search and seizure. In addition, many laws have been enacted to protect the individual from having damaging information stored in computerized databases.
1305. E.    Issues of Adjudication and Regulation
1306. Traditionally, prosecutors face a great deal of uncertainty when they attempted to use existing criminal statutes to prosecute offenses. Within the last few years, this has changed with the addition of computer crime statutes to many state and federal codes.
1307.  
1308. Computer crime laws can be seen as a generalized reaction to many types of computer crime. The goal of these laws is to define that acts will be punished, in the hopes that this will deter computer crime. Some of these acts include trespassing into a computerized system, the invasion of privacy of an individual, theft of money, service, data or programs from a computerized system, and data alteration or destruction. Computer laws also prevent or deter computer related fraud and the misuse of computerized information.
1309.  
1310. That is to say, the law provides compensation for injuries and, hopefully, deters wrongdoers by the smooth and efficient operation of the legal system. Generally, the law does not provide a remedy if no injury has occurred; it as a shield through its deterrent effect and not in a proactive manner. Where it is vital that the injury does not occur, then the physical and environmental controls described elsewhere in this text must be used as additional barriers against the wrongdoer. On the other hand, after a wrongdoer has compromised the physical or environmental security arrangements, the law is frequently the only tool available to the information security specialist to minimize the injury already done and to deter, as far as is possible, future wrong doing.
1311. II.    LAWS AS TOOLS FOR COMPUTER SECURITY
1312. A.    Privacy Laws and Legislation
1313. Loss of privacy is a danger that continues to grow with the proliferation of computerized data banks. The computer's ability to collect, store and manipulate vast amounts of data, and its ability to retrieve selected items from these data banks, almost instantaneously allows the collection and distribution of personal information that can affect one's privacy. One of the primary defenses against the loss of individual privacy is the enactment of legislation by national and state legislatures. The basic concern of privacy legislation has been the control and protection of information on or about individuals.
1314.  
1315. Privacy protection laws have been passed in most developed countries. Early in 1970, the U. S. introduced the Fair Credit and Reporting Act that governs the processing, access, and disclosure of credit information. The U. S. Privacy Act of 1974 and the Canadian Privacy Act of 1975 are examples of laws that mandate protection of individual privacy. Other countries also have enacted laws related to individual privacy including the Swedish Data Act of 1973, the German Federal Data Protection Act of 1977, the French Act on Data Processing of 1978, the Danish Acts on Private Registers and the Austrian Federal Data Protection Act of 1978. At the international level, the OECD Transborder Data Flow Guidelines address the topic of the flow of information across international borders, perhaps to jurisdictions where privacy laws may differ from the originating venue.
1316. B.    Intellectual Property Laws
1317. Intellectual property relates to secrets, names, ideas and other similar concepts. The creator of this type of property-whether it is a book, a play, a program, or a musical composition-has certain rights to this property. Four bodies of intellectual property law protect different aspect of these ideas and their practical applications.
1318. 1.    Trade Secrets Law
1319. A trade secret protects something of value and usefulness. This law protects the unique and secret aspects of ideas, known only to the discoverer or his confidants. Once disclosed the trade secret is lost as such and can only be protected under one of the following laws. The application of trade secret law is very important in the computer field, where even a slight head start in the development of software or hardware can provide a significant competitive advantage.
1320. 2.    Patent Law
1321. A patent can protect the unique and secret aspect of an idea. It is very difficult to obtain a patent compared to a copyright (please see discussion below). With computer software, complete disclosure is required; the patent holder must disclose the complete details of a program to allow a skilled programmer to build the program. Moreover, a United States software patent will be unenforceable in most other countries.
1322. 3.    Copyright Law
1323. Copyright law provides a very significant legal tool for use in protecting computer software, both before a security breach and certainly after a security breach. This type of breach could deal with misappropriation of data, computer programs, documentation, or similar material. For this reason the information security specialist will want to be familiar with basic concepts of to copyright law.
1324.  
1325. The United States, United Kingdom, Australia, and other countries have now amended or revised their copyright legislation to provide explicit copyright laws to protect computer program. Copyright law in the United States is governed by the Copyright Act of 1976 that preempted the field from the states. Formerly, the United States had a dual state and federal system. In other countries, such as Canada, the courts have held that the un-revised Copyright Act is broad enough to protect computer programs.
1326. 4.    Trademark Law
1327. The name given to the software is often as important as the protection of the software itself and must be protected. Trade names for well known products have gained great value as their commercial recognition has increased. Trademark laws exist under both state common laws and federal status. Trademark rights arise upon 'first usage' of the trademark in commerce.
1328.  
1329. Trademarks should be used to protect the names of any software packages. Simply using a trademark gives one common-law rights to continue using it. If the trademark is registered with the Patent and Trademark Office the holder has the rights to use the trademark anywhere business is conducted.
1330. C.    Federal Laws
1331. Federal laws, such as the Privacy Act of 1974 and the Foreign Corrupt Practices Act, were used to combat computer crime during the late 1970's and early 1980's. The Ribicoff Computer Crime Bill of 1978 was used as a basis for many of the first state computer crime laws as well as Federal legislation. During 1984, Congress enacted the first federal provisions, within several bills, specifically outlawing certain types of computer abuse. These provisions prohibited the unauthorized use of computers in three areas:
1332. 1.    They made it a felony to access a computer to obtain classified military or foreign policy information.
1333. 2.    They prohibited access to a computer to obtain financial or credit information without authorization.
1334. 3.    They made it a misdemeanor to access a federal computer to modify or destroy data.
1335.  
1336. During 1986, the 99th Congress allowed for modification of Title 18 of the United States Code, which includes Section 1030 (fraud and related activity in connection with computers). The Federal Computer Crime Statute, as mentioned above, was put in place in 1984 and provided criminal penalties only for stealing national security related data or for trespassing into government computers and computerized information of individuals' credit histories. The 1986 modifications of this statute made it clear that acts of simple trespass into government computers are punishable, authorized prosecution of those who traffic in compute passwords and strengthened the 1984 law by expanding protected data beyond federal databases to those holding government - related data such as banks or other financial institutions.
1337.  
1338. The Computer Security Act of 1987 was the primary computer security legislation of the 100th Congress. The legislation provides for a computer standards program within the National Bureau of Standards (now the National Institute of Standards and Technology [NIST]). This act states that NIST shall be responsible for developing standards and guidelines related to security and privacy for federal computer systems that store and process "sensitive" information. NIST is also tasked with issuing guidelines for training awareness, that must be followed by federal agencies. While NIST will set the standards for the area of "sensitive" information, the Department of Defense will retain jurisdiction over systems with classified information that require protection under Executive Order 12356.
1339. D.    State Statutes
1340. The first ten states to adopt computer crime legislation were Arizona, California, Colorado, Florida, Illinois, Michigan, New Mexico, North Carolina, Rhode Island and Utah. Today some 48 states have passed computer crime legislation. These laws usually define computer crime in great detail including such terms as 'theft of services', 'criminal use of the computer', 'deceiving a machine', 'computer fraud', 'computer program', 'computer network', etc. Many of the state laws also specify the maximum fines and punishments. For example California's computer crime law specifies a maximum $10,000 fine for accessing a computer for extortion. The Louisiana law specifies that an offender may be fined not more than $10,000 and imprisoned for not more than five years.
1341.  
1342. The Maryland computer crime law concentrates on access to a computer, computer network, computer software, computer control language, and computer databases. Fines are not to exceed $1,000 and imprisonment not to exceed three years. It appears that the Maryland legislature does not think unauthorized computer access is a very serious matter. Damage or destruction of hardware is designated as an offense in the Minnesota law. Maximum fines are specified at not more than $10,000. The Montana law attempts to define the value of the electronic impulses, electronically produced data, computer software. Denial of computer use is defined as an unlawful act in the Nevada law. New Jersey law defines alteration and destruction of data as a crime. Extortion is mentioned in the North Carolina law. The Oklahoma law specifies a maximum fine of $100,000. Washington law uses the term computer trespass rather than access. The theft of trade secrets and intellectual property are addressed in the Wyoming law. Connecticut law has provisions that protect the privacy of individuals including the elimination of governmental immunity.
1343.  
1344. These laws, plus additional ones that are being added each year, attempt to make computer related crime less attractive to individuals and groups who are willing to risk fines and imprisonment. For example, thirteen state legislatures proposed some 21 pieces of computer crime legislation during their 1987 sessions and during the 1988 sessions some seven states proposed legislation. These bills propose new definitions of computer crime, revised definitions of the terms used in existing laws, enhanced penalties, proposed authorization for certain agencies to conduct computer crime investigations and propose compensation procedures for victims of computer crimes.
1345.  
1346. For example, a proposed California law would greatly broaden the state's authority to prosecute computer crimes. The bill has been criticized as being too harsh. Under this bill punishment for unauthorized access to a computer would depend not only on the dollar value of the computer time used but also on the expense of assessing and repairing damage to the system. One feature of the bill removes the burden of proving malicious intent on the part of the defendant. It also allows the seizure and confiscation of items seized as the result of a warrant or arrest. These items may be destroyed or distributed to a public entity or nonprofit corporation. An Illinois Senate bill also provided for forfeiture of any moneys, profits or proceeds acquired directly or indirectly as the result of a computer crime.
1347.  
1348. Several bills refine or enhance existing laws. An Idaho Senate bill defined computer crime within the definitions of trade secrets. The Massachusetts legislature is considering a bill that establishes a commission to determine and review the adequacy of current laws defining computer crime. Both New Mexico and North Dakota passed legislation which further defines or redefines computer crime and computer fraud. The Utah legislature has passed legislation to provide for compensation to the victims of computer crime.
1349.  
1350. The Texas State Legislature passed legislation related to the intellectual property policies of institutions of higher education. One of the matters addressed in these bills was disclosure of scientific and technological developments including computer software. This act is a basis for the control and protection of computer software developed at institutions of higher education in Texas.
1351. E.    DPMA Model Computer Crime Bill
1352. Apparently, at the state level, legislation is not uniform nor is it consistent. Work needs to be done to strengthen current and proposed legislation at the state level. With this objective in mind, the DPMA has taken an active interest in this effort by calling for the improvement of existing computer crime laws. It has proposed and drafted a "Model Computer Crime Act." The model act establishes civil procedures for redress of computer crime victims. The DPMA model act also proposes forfeiture of property, guidelines for what evidence will be considered in a computer crime case (rules of evidence), a good definition of computer crime, suggested punishments (including increased penalties for repeated violations) and suggestions for jurisdiction. Jurisdiction is a significant problem for the courts since the computer criminal may reside in one state or country while committing a crime in another via data communication systems.
1353.  
1354. Security practitioners must keep abreast of current legislation even though the impact of these laws on the prospective perpetrator of a computer crime may not be great. A review of the literature shows that most researchers believe that the probability of being convicted of a computer crime is low and that when convicted the punishments are nominal. Strengthening our existing laws can have a positive impact deterring would-be perpetrators of computer crime.
1355. III.    LAWS AND LEGISLATION AS OPTIONS TO CONTROL COMPUTER CRIME
1356. A.    License Agreements
1357. A common practice in the computer industry is to license the use of software rather than sell it outright. This is particularly true with mainframe software and much of the microcomputer software. The law related to license agreements is complex and of interest to the computer security specialist since a company's liability could be substantial if infringements occur. A license agreement is a contract that permits the licensee to exercise owner's rights under certain conditions and constraints for a fixed period. The extent of those rights vary from one license to another. Under a license agreement, the right to use computer hardware or software is often limited and defined. These constraints may include number of hours of use per period, the location of use, limits on the number of copies that may be made, limits on the number of terminals that can be used and similar items. Obligations of secrecy are often imposed as part of the license agreement.
1358.  
1359. A license agreement is also a device for legally forbidding copying of computer programs. Under a license agreement, the developer remains the owner of the program. The publisher, the owner of the license, is only allowed to market the program under certain constraints imposed by the license agreement. When we pay a software vender for a computer disk and written documentation, we do not actually purchase the software. Instead, we have only paid for a license to use the software. We only have the right to use the software as specified in the license agreement. A distinction must be made between the purchasing of software and obtaining a license to use software.
1360.  
1361. A number of actions should be taken to ensure the owner's proprietary rights. Owners should limit the use of their software to certain purposes, times, and conditions so that its confidentiality is maintained. Instead of selling an unlimited right to copy a program, the owner will ordinarily specify the number of copies that the purchaser can make. The matter of royalties should be agreed upon between the developer and the licensee. The license should clearly allocate the legal responsibilities of the developer and licensee so that should any liability for infringements or program defects occur, a specify procedure can be followed to resolve the dispute.
1362.  
1363. There are a number of forms of license agreements, including box-top and shrink-wrap license agreements. These are agreements that are put on the outside of the package containing the software. They may be printed on the box or be held in place by a transparent plastic package wrapping. Typically, agreements warn the purchaser that they are only acquiring the license to use the program and specify clearly the rights of the licensee. Upon opening the package the licensee has accepted the terms of the license agreement.
1364. B.    Intellectual Property Laws, (Trade Secrets, Patents, Copyright and Trademarks)
1365. A trade secret is any information, process, or idea that a company considers confidential and it is not generally known in the industry. This secret gives the company a competitive advantage over others. Its existence is simply based on the obligation of confidentiality among the parties involved. Unlike the copyright law, which is discussed below, it can only offer limited protection related to ideas such as a program, formula, or device.
1366.  
1367. Trade secrecy is probably the simplest and the most widely used method to protect software. Owners of a trade secret have exclusive rights to its use and they may license another person to use their innovation for some specified purpose. Under no circumstances should the licensee violate the agreement by disclosing the secret to unauthorized person or use it for unauthorized purposes.
1368.  
1369. The trade secrets law may be used to protect object code as well as source code. Unlike the copyright, it is not a federal law. So, it is practicable in most situations to protect source codes by the trade secrets law and the object code by the copyright law. If object code is only protected as a trade secret, it can only be used as a secret and it cannot be mass marketed. Theoretically, a seller can require every user to sign a nondisclosure agreement when they acquire software. However, it would be inconvenient and unnecessary. Thus, copyright is often viewed as a better alternative when software is sold.
1370.  
1371. The trade secrets law may not pose any legal restrictions in some cases. People may obtain software or other items covered by trade secrets agreements accidentally or intentionally without signing a nondisclosure agreement. Once the secret gets out, it is opened to others forever. Another problem is 'independent discovery' that means other people may develop the same program independently without being legally responsible for any trade restriction. "Reverse engineering" is legally the same as independent discovery.
1372.  
1373. In many instances, trade secrets protection is preferable to copyright and patent protection. There is too much confusion in the legal profession regarding patent and copyright protection of software for developers to feel justified in entrusting their competitive advantages to those two forms of protection. With the patent and copyright, developers are required to make the development public as a perquisite for protection. Since trade secrets protection does not require any registration with government agencies, it is often viewed as a simpler form of protection. Protection exists once creation begins and it is quite a natural practice for a developer to protect his innovation by keeping it confidential.
1374.  
1375. Using trade secrets protection has a number of drawbacks. First, a trade secret exists only as long as it is still a secret. A developer may be required to go to great lengths to establish and ensure the continued confidentiality of the innovation. Second, developers cannot restrict their competitor from discovering the new idea independently. Third, widespread trade secrets protection may tend to stifle technological development since it encourages jealous safeguarding of software improvements rather than the free interchange of new ideas.
1376.  
1377. As mentioned above the use of the patent is impractical for the protection of software and is certainly a viable alternative for hardware protection. While there may be an occasion when a program might be patentable, confusion and uncertainty in the law creates doubt that a patent would be feasible. The costs of a patent are prohibitive compared to the cost of a copyright.
1378.  
1379. A copyright owner has the exclusive right to reproduce his work. Copyrights can also be obtained if an author transfers the right to a third party. This applies to software as well as literature and art. Under the Copyright Act, a person who copies an idea for a program and not the actual code should not have infringed on the author's copyright. Unfortunately, this look and feel doctrine has been supported by only a few cases in the courts. These cases involve defendants who stole the code of the plaintiff and wrote the same program in a different language.
1380.  
1381. Microcomputer software presents a particular problem since many individuals are involved in the use of this software. Section 117 of the copyright laws, specifically the 1980 amendment, deals with a law that addresses the problem of backup copies of software. This section states that users have the right to create backup copies of their software. That is, users may legally create a backup copy of software if it is to be held in archive. Many software companies provide a free backup copy to users that precludes the need for to users purchase software intended to defeat copy protection systems and subsequently create copies of their software. If the software purchased is actually leased, you may in fact not even be able to make backup copies of the software. The distinction between leasing and buying is contained within the software documentation. The copyright statement is also contained in the software documentation. The copyright laws regarding leased material state that the leasor may say what the leaseholder can and cannot do with the software. So it is entirely up to the owner of the software as to whether or not users may make backup copies of the software. At a time when federal laws relating to copyright protection are evolving, several states are considering legislation that would bar unauthorized duplication of software.
1382.  
1383. The software industry is prepared to do battle against software piracy. The courts are dealing with an increasing number of lawsuits concerning the protection of software. Large software publishers have established the Software Protection Fund to raise between $500,000 and $1 million to promote anti-piracy sentiment and to develop additional protection devices.
1384. C.    Employee Non-Disclosure Considerations
1385. A non-disclosure agreement is an established form of agreement between employees and a company in which an employee agrees not to disclose trade secrets or other confidential information owned by the company to any unauthorized person. It provides a legal basis for future prosecution of employees who breach security. Thus, employers retain their ability to hire or fire employees and also maintain their legal right to protect their trade secrets. Some of the significant elements in non-disclosure agreements include: an indication and definition of which trade secrets are involved, an obligation for the agreement to continue beyond termination of employment, restraints on duplication of material and exit review procedures when an employee terminates employment.
1386.  
1387. In fulfilling employees' obligation under this agreement, employees promise not to disclose company trade secrets unless authorized in writing by the company. This agreement should remain in force even after employment has been terminated. Upon termination of employment the employees agree to surrender to the company all notes, records, and documentation that was used, created, or controlled by the employee.
1388.  
1389. A non-disclosure agreement should stress that an employee should take his or her involvement with trade secrets seriously and must legally bind the signer from disclosing trade secrets. Should the signer disclose the secrets to others, he cannot legally make use of it without facing the possibility of an injunction.
1390. D.    Contracts
1391. Software development contracts can play a contributing role in any security program. The subject of buying and leasing software and hardware cannot be explored without some basic knowledge of contract law. Often the user rushes into the contracting stage by signing the supplier's standard form of contract often called the sales order. This is done without documenting claims made by the salesman and without realizing that the sales order is legally binding. If the purchaser is to protect himself fully, he or she must include certain clauses in these contracts.
1392.  
1393. Room does not allow a complete discussion contracts except for some of the important clauses that are of particular interest to the computer security specialist. The interested reader should refer to one or more of the references listed at the end of this module.
1394.  
1395. Written contracts should always designate a time frame or timetable in which the hardware is to be installed or software completed. Specify details when various parts of a program shall be completed and tested or likewise when hardware components shall be installed. Outline in detail the functional specifications for performance criteria and interface specifications. Include a list of authorized signatures of both parties to the contract. Specify the method and timing of payments in detail. Include definitions of terms that require clarification. Allocate responsibilities between the two parties involved to include what is expected of each. If software is to be developed, a detailed description of the software must be included. The user and supplier must agree that both parties will use all the Uniform Commercial Code (UCC) rights, duties, and remedies. Include some form of progress reporting system for hardware installation or the programming of software, plus a warranty that the products produced or purchased will perform according to specifications; provide for program maintenance and provide for access to source code via such agreements as a source code escrow.
1396.  
1397. Detailed specifications are very important in any contract. Put in writing exactly what the program is to do or how the hardware is to perform. Since the user is the one who determines the specific adequacies of a product, the more detailed the contract, the better the user position. The user and seller must agree on the form and level of performance acceptance tests for hardware or software. These tests should be directly related to the previously mentioned functional specifications. The best solution for obtaining functioning programs is to use care in selecting a programmer or software house that is competent, reliable and financially sound.
1398.  
1399. For protection, users should formulate a payment schedule so that a payment is made as each phase of installation is completed, tested, and operating properly. Should the project be delayed, the supplier will be responsible for any loss to the user. This encourages suppliers to meet time schedules and provides some bargaining leverage between the user and the supplier of the hardware or software. Custom-designed programming is more likely to develop problems and take longer to debug. Therefore, users should take this possibility into consideration when negotiating with the contractor.
1400.  
1401. Make provisions for maintenance of hardware and/or software. Include up-time commitments for hardware and performance specifications for software. Agree upon the replacement procedures for non-functioning hardware or software "Lemons" needs to be agreed upon.
1402. E.    Warranties for Software and Hardware
1403. Consider comprehensive warranties for any hardware or software leased or purchased an important element in any security program. As pointed out above, different rights and obligation arise from the sale or lease of computer software and hardware. The sale of a product gives rise to certain warranties by the seller. A warranty is a promise that a particular statement is true, that the software or computer hardware will work as specified. The genesis for warranties is the Uniform Commercial Code (UCC) which divides warranties into two types: express and implied. Few express warranties are used in the sale of computers or software. Implied warranties, which imply that a product is fit and proper for the function advertised, are very common.
1404.  
1405. Under the UCC, an express warranty is an affirmation or promise of product quality to the buyer and becomes a part of the basis of the bargain. Promises and affirmations made by the software developer to the user about the nature and quality of the program can also be classified as an express warranty. Programmers or retailers possess the right to define express warranties. Thus, they have to be realistic when they state any claims and predictions about the capabilities, quality and nature of their software or hardware. They should consider the legal aspects of their affirmative promises, their product demonstrations, and their product description. Every word they say may be as legally effective as though stated in writing. Thus, to protect against liability, all agreements should be in writing. A disclaimer of express warranties can free a supplier from being held responsible for any informal, hypothetical statements or predictions made during the negotiation stages.
1406.  
1407. Implied warranties are also defined by the UCC. These are warranties that are provided automatically in every sale. These warranties need not be in writing nor do they need to be verbally stated. They insure that good title will pass to the buyer, that the product is fit for the purpose sold, and that it is fit for the ordinary purposes for which similar goods are used (merchantability).
1408.  
1409. TEACHING CONSIDERATIONS
1410. A.    Suggested Schedule:
1411.     The following sample module plan is based on the offering of three to nine hours of lectures with outside lab time and some homework.
1412. 1.    The Underlying problem    1 - 2 hours
1413. 2.    Laws as tools for computer security    1 - 3 hours
1414. 3.    Laws as legal options for control    1 - 4 hours
1415.     As an alternative a one hour lecture could be presented discussing only topic II.
1416.  
1417. B.    Case Studies/Examples
1418. The Computer/Law Journal, which can be found in most major libraries is a very good source of examples and case studies.
1419. C.    Homework and Lab Exercises
1420. Ask students to complete a brief two or three page summary of current articles related to computer law. Trade publications such a Datamation and Computer World often have articles that can be used as cases. Ask the advanced student to review court cases.
1421. Bibliography
1422. Becker, L. G., Computer Abuse and Misuse: Assessment of Federal and State Legislative Initiative, Institute of Defense Analyses, 1801 N. Beauregard Street, Alexandria, Virginia, IDA Paper P-1798, 1984.
1423. This publication includes an overview of computer abuse issues, Federal legislation through 1984, state computer abuse statues and the implication for the DOD.
1424. U.S. Congress, "The Security Act of 1987," PL-100-235.
1425. This law describes the policy of the Federal Government regarding computer security. Among other things the law covers the identification of sensitive systems, the development of a security program and plan, and the need for training of all users, developers and operations associated with a system.
1426. "Model Computer Crime Act," Data Processing Management Association, Park Ridge, IL, 1986.
1427. This model act incorporates the establishment of civil procedures for redress of computer crime victims. The DPMA's model act also proposes forfeiture of property, guidelines for what evidence will be considered in a computer crime case (rules of evidence), a good definition of computer crime, suggested punishments including increased penalties for repeated violations and suggestions for jurisdiction.
1428. Davis, G. G., Software Protection, Practical and Legal Steps to Protect and Market Computer Programs, Van Nostrand Reinhold, New York, 1985.
1429. An academic discussion of intellectual property rights, copyright, unresolved problems with copyright, software warranties, export controls, and infringement remedies.
1430. Mandell, Steven L., Computer Data Processing, and the Law, West Publishing Company, Minnesota, 1984.
1431. This book has been designed especially for the functional aspects of data processing management.
1432. Hagelshaw, R. Lee, The Computer User's Legal Guide, Chilton Book Company, Pennsylvania, 1985.
1433. This text provides a good overview of the most common legal aspects of interest to the computer users in a manner that can be understood.
1434. Remer, Daniel, Legal Care for Your Software, A Nolo Press Book, United States, 1984.
1435. This book is designed as a legal guide for software writers and publishers. It clearly describes the legal rules that relate to developing and marketing computer software.
1436. Isshikki, Koichiro R., Small Business Computers, a Guide to Evaluation and Selection, Prentice-Hall, Englewood Cliffs, N.J.,1982.
1437. A comprehensive text containing a detailed chapter on how to avoid computer contracting pitfalls.
1438.  
1439.  
1440.  
1441.  
1442.  
1443. System Security
1444.  
1445.  
1446.  
1447.  
1448. Revised Sunday, August 19, 1990
1449.  
1450.  
1451.  
1452.  
1453.  
1454.  
1455.  
1456.  
1457. Corey D. Schou, Ph.D.
1458. Center for Decision Support
1459. College of Business
1460. Idaho State University
1461.  
1462.  
1463.  
1464.  
1465.  
1466.  
1467.  
1468.  
1469.  
1470.  
1471.  
1472.  
1473.  
1474.  
1475. Description:
1476. This module addresses mainframe security considerations. It will define the advanced requirements for security and the criteria on which satisfaction of those requirements can be judged. Hardware, software, firmware, and procedures are considered as mechanisms to protect a system appropriately. The process described starts by defining of the sensitivity of a system and moves through techniques of establishing criteria and evaluating the degree to which the criteria are met.
1477. The module is the first of the senior level modules and addresses mainframe security considerations. The module defines advanced requirements for security and the criteria on which satisfaction of those requirements can be judged. Hardware, software, firmware, and procedures are considered as mechanisms to protect a system appropriately. The described process starts by defining the sensitivity of a system and proceeds through establishing criteria and evaluating the degree to which the criteria are met.
1478.  
1479.  
1480. System Security
1481. Objectives:
1482. The objective of this module is to provide an understanding of the techniques of defining and evaluating mainframe system security requirements.
1483. Learning Objectives
1484. Upon completion of this module, the student should be able to:
1485. 1.    determine the sensitivity of a system;
1486. 2.    recognize the difference between criticality and sensitivity;
1487. 3.    determine the corporate impact of loss;
1488. 4.    relate system sensitivity to security requirements;
1489. 5.    determine criteria to be met to satisfy security requirements;
1490. 6.    recognize and evaluate the levels of security of systems.
1491.  
1492. Prerequisite:
1493. The modules "Introduction to Computer Protection" and "Security Fundamentals" are appropriate. In addition, knowledge of computer systems design and requirements would be beneficial. This module should be incorporated at the upper division of undergraduate work so that the student will have achieved a level of maturity that will enhance participation.
1494. Topic Outline
1495.  
1496. I.    Overview
1497.     A.    Definitions
1498.         1.    Sensitivity/Criticality
1499.         2.    Security Levels
1500.         3.    Accreditation/Certification
1501.     B.    Background
1502.         1.    Threats and Vulnerability
1503.         2.    Computer Security Act of 1987
1504.     C.    Management Responsibilities
1505. II.    Systems Sensitivity
1506.     A.    Criticality
1507.         1.    Business Impact
1508.         2.    Revenue Losses
1509.         3.    Embarrassment
1510.         4.    Potential Legal Problems
1511.     B.    Sensitivity
1512.         1.    Privacy
1513.         2.    Trade Secrets
1514.         3.    Planning Information
1515.         4.    Financial Data
1516.     C.    Source Of Sensitivity Information
1517.         1.    MIS Department
1518.         2.    Users
1519.         3.    Management
1520. D.    Levels Of Sensitivity
1521.         1.    Military
1522.         2.    National Computer Security Center
1523.         3.    Commercial
1524. III.    SECURITY REQUIREMENTS
1525.     A.    Security Policy
1526.         1.    Intent (As It Relates To Sensitivity)
1527.             a. Access To Information
1528.             b. Destination Of Information
1529.         2.    Laws
1530.         3.    Regulations
1531.         4.    Company Policy
1532.         5.    Mandatory Security And Discretionary Security
1533.         6.    Responsibilities
1534.     B. Accountability
1535.         1.    Individual Identification
1536.         2.    Authentication
1537.         3.    Audit Capability
1538.     C. Assurance
1539.         1.    Architecture
1540.         2.    Integrity
1541.         3.    Testing
1542.         4.    Specification/Verification
1543.         5.    Facility Management
1544.         6.    Configuration Management And Control
1545.         7.    Disaster Recovery Or Contingency Planning
1546.         8.    Compliance
1547. IV.    Levels of Security
1548.     A.    Related To Sensitivity
1549.     B.    Extent To Which Requirements Are Satisfied
1550.     C.    Cost/Benefit Analysis
1551.     D.    Management Decision
1552. V.    Data Life Cycles
1553.     A.    Retention Policy
1554.     B.    Destruction Policy
1555. VI.    Sample Protection Plan
1556.     A.    System Description
1557.     B.    MIS Security
1558.     C.    Communications Security
1559.     D.    Information Security
1560.     E.    Personnel Security
1561.     F.    Physical Security
1562.     G.    Contingency Plans
1563.  
1564.  
1565. ANNOTATED OUTLINE
1566. I.    OVERVIEW
1567. A.    Definitions
1568. This section is intended to introduce the student to System Security and to provide the definition of specific terms that will be used throughout this section: criticality addresses the impact of computer capability loss; while sensitivity represents the value of the integrity and protection of the information in the system. These factors together, define the importance of a computer system, and the data that it contains, to the organization.
1569.  
1570. These factors also define the level of protection or security that is cost justified for a specific system. Fundamentally, the implementation of security countermeasures results in the certification by a knowledgeable authority that adequate measures are in place and includes the ultimate approval or accreditation of the system. The sensitivity of the system and the organization's culture determines the level of formality of this process.
1571. B.    Background
1572. Examine the reasons for increasing levels of security by briefly discussing current threats, both natural and man made, that have been reported in the news media. Use these events to illustrate the vulnerability of computer systems in terms of the basic concepts of system protection. The Computer Security Act of 1987 demonstrates the role that the Federal Government plays both in defining basic concepts and articulating current thinking on the subject. Stress the responsibilities for the following tasks:
1573. 1.    Identifying sensitive systems
1574. 2.    Developing a security program and plan, and
1575. 3.    Training appropriate people concerned with both development and operation of systems.
1576. C.    Management Responsibility
1577. Responsibility for computer security is broad based: people in all organizational elements must take part. Management must direct and coordinate this effort and provide the impetus to make it work.
1578. II.    SYSTEM SENSITIVITY
1579. First determine what systems are sensitive and the extent they must be protected. This includes identifying sensitive data.
1580. A.    Criticality
1581. Evaluate criticality in terms of what would be affected if the system were to become unavailable. First, divide the system into sub-elements (i.e., applications) that are related to users or business functions. Then evaluate each application to define the impact on the user if computer support was lost. Such factors as the effectiveness of the particular function, additional cost of doing business, lost revenue, possible legal problems, and the effect of the loss on the image of the organizations.
1582. B.    Sensitivity
1583. Sensitivity analysis measures the impact of a non-authorized person gaining access to the information, or of data being altered in any way. Most importantly, private personal data should not be disclosed without specific authorization. Other sensitive areas include trade secrets, formulas, financial data and company planning information that may be of significant value to competitors.
1584. C.    Source of Sensitivity Information
1585. Do not consider the MIS group a reliable source of criticality and sensitivity information. Too often the MIS group reacts to an individual or group that most quickly to complains in the event of system degradation. The quickness of the complaint may not necessarily be representative of the real importance of these data to the company. The best initial sources are the users of the MIS output. They can best express impact on the operation and potential costs, thus when this information is validated by management the real importance to the organization is captured. This is the foundation for systems security-validity must be guaranteed.
1586. D.    Level of Sensitivity
1587. The military, expresses sensitivity of systems through classification such as top secret, secret, confidential, and unclassified. The recent introduction of "unclassified but sensitive" was a reaction to privacy requirements.
1588.  
1589. The National Computer Security Center, in its Trusted Computer System Evaluation Criteria standard, identifies four divisions of security. Level "D" is the lowest; no security is required. Each higher division represents a major improvement in the confidence one can place in a system for the protection of information. The "C" level is discretionary control, in which identifiable sections of a system are protected, as appropriate, to the information in the section. The "B" level is defined as Mandatory Control in which all data are protected. Although some data may be more easily accessed than others the necessary controls are present. The "A" level is the highest - it represents formally verifiable protection and is the most comprehensive security available.
1590.  
1591. Commercially, various categorization schemes are employed. Commonly, such terms as highly critical, critical, important, and routine are used. The actual names used are unimportant as long as they are used consistently. The key factor is that levels are defined so they can be used to identify the extent to which security measures should be applied to the system.
1592. III.    SECURITY REQUIREMENTS
1593. Security requirements may be divided into three general areas: security policy, accountability, and assurance. Each area represents what may be done to control, through specific security features, over information access so that only authorized individuals or processes may read, write, create, or delete the information.
1594. The satisfaction of security requirements may be accomplished with hardware, software, firmware, procedures or any combinations of these elements. The extent to which the requirements are satisfied is related to the sensitivity of the system and is defined through a cost/benefit analysis that will relate the marginal cost of the measure to the previously defined level of sensitivity.
1595. A.    Security Policy
1596. Security policy must be explicit and well defined. This is a statement of intent regarding access and distribution of information. This policy may be positively or negatively formulated, - "all appropriate individuals will have easy access to the information they require," or "no unauthorized individual may have access..." The policies must be explicit enough so that specific interpretations can be made and must also be distributed to the appropriate individuals.
1597.  
1598. A security policy should reflect any laws, regulations, or basic company policy. Particular attention must be paid to the privacy of individual personal information. Failure to create a valid and complete security policy could put any organization at great risk.
1599.  
1600. The policy should state whether discretionary or mandatory control is to be employed and the extent to which formal verification is to take place. Most importantly, the policy must clearly delineate the responsibilities of all those involved. All factors should be related to the level of sensitivity.
1601.  
1602. A list of subjects covered in the policy area includes:
1603.     Responsibility/Authority
1604.     Access Control
1605.     Discretionary/Mandatory Control
1606.     Marking/Labeling
1607.     Control of Media
1608.     Import & Export of Data
1609.     Security Levels
1610.     Treatment of System Outputs
1611.  
1612. B.    Accountability
1613. The system must assure individual accountability both for access to data and use of system capability. There must also be a way to audit transactions. This involves three basic elements: individual identification, authentication, and audit.
1614.  
1615. Individual Identification refers to the ability to recognize uniquely anyone accessing the system. This can be determined at any level a policy requires. Many access control systems group individual users so that the same privileges (i.e., access to specific data or functions) are granted to several individuals. These privileges may also be related to location, time of day, or other criteria that in turn relate to the level of security required. For example, in a hospital information system, doctors may be able to access data about a patient from any location while nurses may only be able to access data about medication for specific patients from specific stations. The level of individual access authority control should relate directly to sensitivity levels previously defined.
1616.  
1617. Authentication refers to techniques available to assure that individuals identified are who they represent themselves to be. The most common form of authentication is the use of passwords, but there are other techniques. Authentication techniques fall into three categories: what someone knows (passwords, encryption keys); what someone possesses (smart cards, electronic keys); or some personal characteristic (biometrics-fingerprints, hand geometry, retina patterns). In the sequence of reliability and ease of use, what someone knows is easy and inexpensive to implement. What someone possesses is also easy to use but more expensive and more reliable because of the greater difficulty to compromise. Human error, however, is more highly probable when relying on what someone knows and what someone posses. Passwords, and the use of encryption methods, require keys. Management of passwords and keys determines the reliability and security of a system.
1618.  
1619. Audit capability refers to the capability of authorized personnel to track actions taken by individuals. The system must provide authorized personnel with the capability to track actions taken by individuals. The granularity of these tracking mechanisms relates to sensitivity. The higher the level of sensitivity, the more detail should be available in the auditing system. The authorized user should be able to manipulate easily the system so that data can be selected as needed.
1620. C.    Assurance
1621. Assurance refers to the guarantee of correct policy interpretation, the integrity of the system, and the effective operation of the system. The degree to which the subjects listed below are addressed pertains to the security level of the system. The elements contained in the assurance category are:
1622. 1.    Architecture: 
1623. Specify the security relevant aspects and clearly identify how they are treated.
1624. 2.    Integrity: 
1625. Both system and data integrity should be addressed. The analysis should include what checks are
1626.  made, the frequency, and the impact of failure.
1627. 3.    Testing: 
1628. No system can be considered secure if adequate testing has not been done. The test should be well planned and structured and evaluation should be directed toward making improvements.
1629. 4.    Specification/Verification: 
1630. To establish the security of a system, it is necessary to know what the system should be doing and determine how well it accomplished its functions. It is impossible to define security requirements if the function of the system is not known.
1631. 5.    Facility Management:
1632.  This addresses physical access control and operational actions, such as policy change, program implementation procedures and other actions that relate to the manner in which the system is implemented and operated.
1633. 6.    Configuration Control:
1634.  This is relative to the certain knowledge of the contents of hardware and software at any given moment.
1635. 7.    Disaster Recovery or Contingency Planning: 
1636. This element of system security has two distinct parts-what must be done during normal operation and what must be done in the event of emergency. Effective backup data creation and storage are as important as the identification of a backup concept and storage facility. The intention of this discussion is not to address disaster recovery fully, but to ensure that it is considered.
1637. 8.    Compliance: 
1638. The identification and treatment of violations to established policy is important. Both the mechanism to identify violations and the response to violations must exist and be enforced. Objective review must be made to ensure that security procedures are being complied with.
1639.  
1640. IV.    Levels of Security
1641. The security measures taken need to relate to the sensitivity of the system. All systems are, or can be, secured to the necessary level by application of the appropriate principles discussed. One of them, password protection, may be very simple and not managed in detail or it may be very complex and rigid in nature. An individual may be required to know several passwords to access increasingly more sensitive data. Each requirement should be addressed - even if the answer is that its use is unnecessary for the specific system involved.
1642.  
1643. Evaluation of the extent to which security measures should be applied can be done with Cost/Benefit analysis. It should never cost more to implement a countermeasure than it is worth. The process is briefly discussed here, it is only necessary for the student to understand that cost/benefit analysis will relate the value/cost of possible losses to the cost (dollar and organizational) to accomplish a specific protective action.
1644.  
1645. It should be emphasized that these are management decisions. They should not be defaulted to system developers or designers but should be thoughtful and intelligent decisions made by management based on knowledge and information.
1646.  
1647. V.    Data Life Cycle
1648. All data within an organization have a finite life cycle. Retention of this data beyond their useful life exposes the organization to unnecessary risk of compromise or disclosure. It is therefore important that the organization have both a retention and destruction policy.
1649. A.    Retention Policy
1650. The retention policy should be realistic and take into account the importance of the data or information to the organization in the future. Files should be marked at the time of their origin for automatic destruction. Files which are company private and do not have an automatic destruction date should be reviewed by the originator and by a company security office for review before release.
1651.  
1652. When company private files are reviewed and it is determined that they are no longer needed, The originator and all users should be notified that the status of the data or information is to be changed. A reasonable time might be specified before destroying the files.
1653. B.    Destruction Policy
1654. Once it has been determined that the files have outlived their usefulness, they should be destroyed. The following is a sample procedure that one may use for this destruction.
1655. 1.    Removable media shall be overwritten (if appropriate) with a binary pattern. One method for overwriting is to overwrite all storage locations with either all 1's or 0's three consecutive times.
1656. 2.    Removable media may be erased by exposing the recording surface to a permanent magnet having a field strength at the recording surface greater than the magnetic intensity that recorded the material on the media. (e.g., A degausser)
1657. 3.    Non-removable media shall be checked immediately before beginning the overwrite procedure to ensure that malfunctions do not occur that will prevent the classified information from being effectively overwritten. The manufacturer's specifications shall also be reviewed to determine whether the overwriting procedures are valid for the particular storage media. Some devices may have unique properties that would prevent the complete erasure of classified data without destroying the storage device. Once it is determined that overwriting is appropriate, all storage locations will be overwritten with a binary pattern as described above.
1658. 4.    Non removable media containing company private material that is mechanically or electronically defective and cannot be repaired in a secure facility should be destroyed in accordance with the regulations defined by the company policy.
1659. 5.    It should be noted that the act of formatting a disk does not remove the data and therefore does not meet the definition of declassification.
1660. 6.    Media shall be destroyed by burning, shredding or any other method that assures complete destruction.
1661.  
1662. VI.    Sample Protection Plan
1663. The following is a sample protection plan for an organization. It should be customized to meet the requirements of the organization.
1664. A.    System Description-This should contain:
1665. 1.    The physical location of the equipment. For example, the Steam Whistle 3000 machine is located in room 941 (9th floor) of building 18 (S. Caesar Lane and A. E. Neumann Drive) in a technical area with limited access.
1666. 2.    Types of data and information-For example, the SW-3000 processes data related to production of widgets and personnel files.
1667. 3.    Classification level-For example, the highest level classification of data or information that is to be processed is "B" level that is defined as Mandatory Control.
1668. 4.    Duration and Importance of MIS Activity-For example, The requirement for the Steam Whistle -3000 to process "B" level data will continue for an indefinite period.
1669. 5.    Equipment Location-The majority of the hardware is located at the facility described in location 1.A; however, there are also disks on the eighth floor..
1670. 6.    Equipment Description by Name and Model Number-self explanatory
1671. 7.    Security Officers-For Example
1672.         Security Officer    JIm Frost    555-1212
1673.         Alternates        Sue Bond    555-1312
1674.         Alternates        Dee Jensen    555-0212
1675. 8.    Data Processing Terms-The data processing terms used in this security plan are consistent with those appearing in the company standards manual.
1676. 9.    System Integrity Study-The integrity study will contain the access needs.
1677. B.    MIS Security
1678. This should include all aspects of system security such as access methods and user control. Additionally risk analysis and audit review information should be considered in this portion of the study.
1679. C.    Communications Security
1680. This should include all aspects of communication security with the outside world. The Radio Frequency Interference (RFI) control requirements and network access precautions should be addressed in this portion of study.
1681. D.    Information Security
1682. This should include all aspects of system security responsibility of each user and how the system keeps user information separate. Details on projected percentage and level of information type should also be included. Finally risk analysis and audit review information should be included in this portion of the study.
1683. E.    Personnel Security
1684. This should describe all day-to-day personnel security activities including who should have access to the system at all times.
1685. F.    Physical Security
1686. This should describe all physical barriers to access in the system, drawings, diagrams, and schematics of the system. In addition, risk analysis and audit review information should be included in this portion of the study.
1687. G.    Contingency Plans
1688. These plans should detail how the critical system functions will be performed if the system is not available. This should include full contingency plan/procedures, post- disaster recovery, and risk analysis.
1689.  
1690. TEACHING CONSIDERATIONS
1691. A.    Suggested Schedule
1692. It should be recognized that this module is intended to be a brief treatment of a complex subject within another course. Time will be limited and presentations must be well thought out and effectively presented.
1693.  
1694. Following is a suggested schedule for time spent on each area:
1695. I.    Overview    0.5 hours
1696. II.    System Sensitivity    1.0-1.5 hours
1697. III.    Security Requirements    2.0-3.0 hours
1698. IV.    Levels of Security    1.0-1.5 hours
1699. V.    Data Life Cycle    1.0-1.5 hours
1700.     TOTAL.............................    5.0-8.0 hours
1701.  
1702. B.    Homework and Exercises
1703. 1.    Identify the sensitive sections of a personnel system.
1704. 2.    Create an access control list that permits individual, group or unrestricted access to 10 or more applications and/or databases.
1705. 3.    Identify four levels of security and describe the possible differences in the authentication process for each of these levels.
1706. 4.    Review the life cycle of data and information in an organization. Write a policy statement for the destruction of 'stale' data.
1707. 5.    Write a statement of company policies for:
1708. Access Control, Violations, or Password Management
1709. C.    CASE STUDIES
1710.  
1711. This module lends itself well to the use of case studies. These will clarify the various aspects of system security and lend realism to the subject.
1712.  
1713. Suggested case studies involve two general areas:
1714. 1.    Systems that have a single sensitivity level.
1715. The single level system might be something like an Automatic Teller Machine (ATM) or an Electronic Funds Transfer (EFT). The ATM is characteristic of low value transactions where financial limits are balanced against ease of use. EFT systems; on the other hand, are high value operations where ease of use is sacrificed for the assurance of accurate identification and authentication.
1716. 2.    Those systems that involve a mixture of different levels.
1717. In the multi-level security area, a MIS containing a mixture of sensitive and non-sensitive data is a good example. In this system the use of increasingly complex identification and authentication as the sensitivity of data increases can be shown.
1718.  
1719. Another area that can be addressed is the movement of some systems from a tightly controlled environment to a more open environment where effective, but friendly, access control must be extended to remote users, such as in customer oriented banking.
1720. Bibliography
1721. National Computer Security Center, "A Guide to Understanding AUDIT in Trusted Systems, NCSC-TG-001-87, 1987. 9800 Savage Road, Fort George G. Meade, MD 20755-6000
1722. The guidelines described in this document provide a set of good practices related to the use of auditing in automatic data processing systems used for processing classified and other sensitive data.
1723. U.S. Department of Defense, "Trusted Computer System Evaluation Criteria" DOD 5200-28-STD, December 1985.
1724. Obtain from Office of Standards & Products, National Computer Security Center, Ft. Meade, MD 20755-6000, Attn.: Chief Computer Security Standards.
1725.  
1726.  
1727.  
1728.  
1729.  
1730.  
1731. Communications Security
1732.  
1733.  
1734.  
1735.  
1736. Revised Sunday, August 19, 1990
1737.  
1738.  
1739.  
1740.  
1741.  
1742. Center for Decision Support
1743. College of Business
1744. Idaho State University
1745. Claude Walston
1746. University of Maryland
1747.  
1748.  
1749.  
1750.  
1751.  
1752.  
1753.  
1754.  
1755.  
1756.  
1757.  
1758. Description
1759. This module is intended to be included in an undergraduate course on data communications and networking for information systems and business majors. Several perspectives could be chosen as the basis for this module: an example might be, a detailed technical perspective for students who are interested in designing data communication systems and networks.
1760. However, this module is written from a management perspective for those students who want to become intelligent users of such systems or those who aspire to a management role in an organization that relies on data communications systems or networks to interconnect elements of its information processing systems, either internally or externally.
1761. The module is designed to be added to an existing data communications course, or it could be added to a course in office automation. If the institution is using the DPMA Model Curriculum for undergraduate Computer Information Systems, then it could be added to CIS/86-15, (Distributed Intelligence and Communication Systems).
1762. The topics covered in this module are:
1763. 1.    a review of the concepts of protection in data communication systems and networks;
1764. 2.    the interrelationship of communications security and network security for interconnected elements, such as PC's, workstations, mini and mainframe computers, Etc.;
1765. 3.    a description of the threats to data and information assets and resources in communications systems and networks;
1766. 4.    a description of countermeasures and protection mechanisms to these threats (including encryption);
1767. 5.    the need for cost/benefit tradeoffs to be made.
1768.  
1769.  
1770. Communications Security
1771. Objectives:
1772. The objective of this module is to present the advanced concepts of information protection in data communication systems and networks.
1773. Learning Objectives
1774. Upon completion of this module, the student should be able to:
1775. 1.    explain protection concepts for data communications systems and networks;
1776. 2.    identify threats to data communications systems and networks and appropriate countermeasures;
1777. 3.    recognize the need for tradeoff studies of the costs and benefits involved in achieving communications security.
1778.  
1779. Prerequisite:
1780. The student should be a senior and should have completed courses in both computer systems hardware and software. The student should also have taken courses that included the modules Introduction to Information Protection, PC/Workstation Security, Security Fundamentals, Systems Security or similar classes.
1781. Topic Outline:
1782. I.    Overview
1783.     A.    Review Of The Concepts Of Protection In Data Communication Systems And Networks
1784.         From A Management Perspective.
1785.         1.    Systems Objectives: Controlled Sharing Of Information And Resources.
1786.         2.    Specific Needs: Privacy, Secrecy, Integrity And Availability.
1787.         3.    Policies And Mechanisms.
1788.         4.    Assets: Identification Of Valuable/ Sensitive Data And Information.
1789.         5.    Threats And Vulnerability.
1790.     B.    The Interrelationship Of Communications Security And Network Security For Interconnected Elements:
1791.         1.    Systems Connectivity
1792.         2.    Public/Private Carriers
1793.         3.    Relationship To Reliability And Dependability
1794. II.    Threats
1795.     A.    Types Of Attacks/Failures
1796.         1.    Passive Intrusion
1797.             a.    Disclosure Of Message Contents
1798.             b.    Traffic Analysis
1799.             c.    Disclosure Of Data On Network Users
1800.         2.    Active Intrusion
1801.             a.    Modification Or Deletion Of Message Contents
1802.             b.    Insertion Of Bogus Messages
1803.             c.    Replay Or Reordering Of Messages
1804.             d.    Viruses
1805.         3.    Natural Disasters/Catastrophes/Sabotage
1806.             a.    Human Errors
1807.             b.    Fires, Floods, Brown-Outs.
1808.     B.    Locus Of Attack/Failure
1809.         1.    Terminals
1810.         2.    Hosts
1811.         3.    Front-Ends
1812.         4.    Gateways
1813.         5.    Links
1814.         6.    Switches (Includes Multiplexer, Intermediate Nodes)
1815.         7.    Interconnected PC/Workstations (Includes LAB, Host-PC Etc.)
1816. III.    Countermeasures
1817.     A.    Encryption
1818.         1.    Private-Key And Public-Key Systems -DES And RSA As Examples
1819.         2.    Key Distribution
1820.         3.    Link Level And End-To-End
1821.     B.    Authentication
1822.         1.    Node And User Authentication
1823.         2.    Passwords
1824.         3.    Message Authentication
1825.         4.    Encryption-Based
1826.         5.    Added Protection For PC Authentication Date
1827.     C.    Access Control
1828.         1.    Access Control Mechanisms-Control Lists And Passwords
1829.         2.    Administration
1830.     D.    Contingency Planning
1831. IV.    Tradeoffs-Costs & Benefits
1832.     A.    Accessibility Versus Secrecy
1833. Annotated Outline
1834. I.    OVERVIEW
1835. Connectivity and communications systems are intertwined. The major thrusts of computer development in the past forty years have been the growing ease of use and growing interconnection of systems. Today, major manufacturers market computers that use compatible operating systems, from microcomputers to mainframes (UNIX or DOS). Postscript is a language accepted by an ever increasing number laser printers and by almost all new typesetting machines; it is becoming a standard language for describing marks on paper. Word processors are available that accept files from IBM compatible machines into Macintosh computers and vice versa. Networks may span continents, or simply connect rooms.
1836.  
1837. Connectivity means more than compatible operating systems, compatible languages, communications, and in a holistic sense, computers simply become more pervasive and easier to use. Like a telephone network, the utility is used, with the user unaware of details of the pieces such as DOS or satellite protocols in the case of long-distance telephone.
1838.  
1839. The presentation of this module reviews the basic concepts of protection as it is applied to communications and network security. There is a misconception that this topic applies only to large organizations with externally interconnected systems. However, even managers who do not have computers connected to communication systems but who do use telephone systems (private or public) for business purposes should recognize that they may also have vulnerable attack points. Competitors can do simple traffic analyses of outgoing calls to determine major clients or suppliers, dishonest employees may use the office phones improperly, etc. While the countermeasures may be simple, the principles covered in this module still apply. Furthermore, if small businesses have only two or three interconnected PC's and printers without any external connections, they should also apply network security principles because accidents, such as employee failures or errors can cause major problems, e.g., data loss.
1840.  
1841. Managers, users and designers of communications systems and networks are faced with a paradox. These systems are designed to facilitate the sharing of information, resources and services by legitimate users but simultaneously they must be protected from unauthorized entry and malicious attacks.
1842.  
1843. In this section, survey the concepts of policies and mechanisms and their roles in protection. The aspects of assets, threats and vulnerability are also reviewed.
1844.  
1845. Summers points out that since users increasingly access computing systems from remote locations, careful attention must be given to communications security. Also, security is increasingly important when connecting computers into networks or implementing distributed systems. Because of this, relatedness, consider communication and network security together.
1846. II.    THREATS
1847. A variety of threats or failures that threaten communications and network security, can be grouped into three major categories:
1848.     1.    Passive intrusion
1849.     2.    Active intrusion
1850.     3.    Natural/Sabotage
1851. In passive intrusion, messages and message traffic over the network are observed but not modified or disrupted. Passive intrusion focuses on the interception and reading of communications messages being transmitted between elements of the system, on the analysis of message lengths and traffic flow and traffic patterns in the network, and on the identification of network users. Passive intrusion can be accomplished many ways, for example: wire tapping, emissions monitoring and interception, or by posing as a legitimate user. The users and operators of the system are quite often unaware that passive intrusion has happened.
1852.  
1853. Active intrusion is done with the specific intent of adversely affecting system operation. It includes actions such as erasing or altering messages, reordering messages, generating bogus messages or disrupting service by overloading the network.
1854.  
1855. Computer viruses are particularly new and dangerous form of active intrusion. These computer programs infiltrate a computer system and attack the operating system, application programs, and data in the same way a cancer virus or retro viruses attack the human system. They can lie dormant for a time, hidden from the user or operator of the system, before they become active. By the time they are discovered, a great deal of damage may have occurred and much data may have been destroyed and lost. Viruses are composed of three parts:
1856. 1.    A mission component (such as to delete files, send data to a certain user, etc.);
1857. 2.    A trigger mechanism (which activates at a specific time or with the occurrence specific event, e.g., the person's name not being on the payroll list); and
1858. 3.    A self-propagating component (whereby it attaches itself to files, programs, or whatever the creator of the virus is in search of).
1859.  
1860. The threat from viruses increases when interconnected systems are involved because the virus can be injected into one element and quickly spread to other interconnected elements or have access to the infected element.
1861. The third category of threats or failures is the one composed of natural disasters, catastrophes and sabotage. The most significant threat to systems comes from mistakes, both errors and omissions, on the part of users or operators of systems.
1862.  
1863. Networks and communications systems must support a high degree of interconnectivity as well as a large diversity of elements. They provide a number of locus points vulnerable to attack by an intruder. If the network is not designed properly, failure of some of these points can also jeopardize the operation of the network and result in the loss of service. PC's and workstations provide particularly good targets.
1864. III.    COUNTERMEASURES
1865. Many approaches have been developed to counter potential threats to the security of communications systems and networks. These approaches are identified in this section. One countermeasure is encryption, as described in. Encryption systems use a key with their cryptography algorithms to convert plain text ("clear-text") into encrypted text ("cyphertext") or vice versa. There are two approaches to encryption. In the private-key system the same key is used at the transmitting and the receiving channel, and the key is transmitted through a secure channel to both stations. An example of a private key system is the DES (the Data Encryption Standard) of the National Bureau of Standards. The second approach is the public-key approach where separate keys are used at the transmitting and receiving stations, a public procedure for encryption and a private procedure for decryption. RSA is the most promising public key system. Keys have finite lives, so they must be generated, distributed and historical records kept. This presents distribution problems. See for a review of solutions.
1866.  
1867. Another important tool in providing network security is authentication. This involves verifying that a user who wants to access the system is who he or she claims to be. Passwords are the most commonly used authentication devices. Another form of authentication applies to messages transmitted over the network to insure that they were not changed in transmission and do come from the claimed source. PC's and workstations used in networks present very special authentication problems.
1868.  
1869. Access control is another important countermeasure to provide network security. This requires identifying the privileges of a user before his accessing information or using the services provided by elements of the network. This control will also operate a process to insure that the user can only access and use what he or she has been granted permission.
1870.  
1871. Dealing with the threat of natural disasters or catastrophes presents very special challenges. Risk analysis and contingency planning are two tools designed to counter these threats. The module on Corporate Security Management deals with these issues.
1872.  
1873. The technical and political aspects of the 'Clipper Chip' debate should be discussed fully. This topic will not be going away and is a critical management issue.
1874. IV.    TRADEOFFS-COSTS AND BENEFITS
1875. The measures taken to achieve communications system security are not free; there are costs implementation involved. The manager of the system has to determine whether the costs associated with the potential loss of assets, services and resources are sufficiently greater than the costs of providing protection and therefore, justify implementation of security measures. Describe and illustrate an organized approach to the cost/benefits study with a good example.
1876. V.    NETWORK DESIGN1
1877. In this section, different aspects of secure network design should be covered. The basics concepts of the cryptographic checksum to ensure message integrity and secrecy should be described. The concept of a trusted network should be developed. Of course, it is complicated  by two factors:
1878. A.    the number of components/media/systems involved in a network, and
1879. B.    the fact that an active subjects interfere with other active subjects on a network.
1880.  
1881. The possibility of compromise of a node or a communications link is serious because it implies a continuing need for assurance of authenticity of any trusted network base. A paper by Randell and Rushby represents an example of separation of a distributed system into trusted and untrusted components.
1882.  
1883. Teaching Considerations
1884. A.    Suggested Schedule:
1885.     The following sample module plan is based on the offering of three to five and a half hours of lectures:
1886. I.    Overview    0.5 hours
1887. II.    Threats    1.0 to 2.0 hours
1888. III.    Countermeasures    1.0 to 2.0 hours
1889. IV.    Tradeoffs - Costs and Benefits    0.5 to 2.0 hour
1890. V.    Network Design    1.0 to 2.0 hours
1891.  
1892. B.    Homework and Lab Exercises
1893. A specific lab exercise on protection cannot be justified in this module. It would be more appropriate to incorporate security concepts in the lab exercises used in the general data communications course. Specify the facilities available at a particular location.
1894. C.    Case Studies
1895. Two possible forms of case studies are suggested. The first is based around a particular application, such as a remote login or electronic funds transfer. The particular vulnerabilities and countermeasures of that application are studied. The other form of a case study is analysis of the security and vulnerabilities and features of an existing network, such as the ARPAnet.
1896.  
1897. Bibliography
1898. Summers, R.C., "An Overview of Computer Security," IBM Systems Journal, Vol. 23, No. 4, 1984, pp. 9-25 (also in [Abrams 86]).
1899. A good management overview of the major aspects of computer security.
1900. Courtney, R.W. & Todd, M.A., "Problem Definition: An Essential Prerequisite to the Implementation of Security Measures," In Computer Security: a Global Challenge, Proceedings of the Second IFIP International Conference on Computer Security, IFIP/Sec 84, North Holland, 1984.
1901. A review of the problems solved about computer security.
1902. Denning, D.E., Cryptography and Data Security, Addison-Wesley, 1983.
1903. Presently this is one of the principal textbooks in computer security. Good as a background reference.
1904. Voydock, V. and Kent, S., "Security Mechanisms in High-Level Network Protocols," ACM Computing Surveys, Vol. 15, No. 2, June 1983, pp. 135-171.
1905. Threats, cryptographic controls, and use of end-to-end encryption in networks.
1906. Davies, D.W. and Price, W.L., Security for Computer Networks, John Wiley and Sons, 1984.
1907. A study of network security, primarily achieved through encryption. Completed description and analysis of DES.
1908. Meyer, C. and Matyes, S.M., Cryptography A New Dimension in Computer Data Security, John Wiley & Sons, 1983.
1909. Definition and use of encryption including a full description of link and end-to-end encryption.
1910. Schou, C.D., Fites, P.E., & Burgess, J.D., "Corporate Security Management," in Information Security Modules, Department of Defense, 1989.
1911. Consider this the capstone security module in this document. Emphasis is on the management of a corporate level data security program.
1912.  
1913.  
1914.  
1915.  
1916. Corporate Security Management
1917.  
1918.  
1919.  
1920. Corey D. Schou, Ph.D.
1921. Center for Decision Support
1922. College of Business
1923. Idaho State University
1924.  
1925.  
1926.  
1927.  
1928.  
1929.  
1930.  
1931.  
1932.  
1933.  
1934.  
1935.  
1936.  
1937. Description:
1938. This module deals with top management and policy considerations. Responsibilities of managers vary, depending on their level in an organization, and this module introduces differences in responsibilities at various levels of management. The role of the System Security Officer (in organizations large enough to warrant a SSO) is discussed.
1939.  
1940. A corporate security management plan needs the involvement of all levels of management to ensure that the program is properly and thoroughly implemented. The program should clearly identify local, state, and federal legislation that defines responsibility to ensure that all members of the corporation understand and are able to implement a specified plan. Ultimately, the corporation is held responsible for the accuracy and integrity of corporate data.
1941.  
1942. This module is intended to be included as part of a course, such as the CIS/86-18 (Information Resource Planning and Management). Other courses, such as those specialized in security or data processing management concepts, might include this material, at least in outline. A Business Policy course that has a significant MIS component, could benefit from including this module as a case study or as part of examining the responsibilities of senior management to interact with the external environment.
1943.  
1944. Corporate Security Management
1945. Objectives:
1946. The objective of this module is to introduce students to the basic concepts of managing a corporate level security program, including planning and implementation. All students should know at least a few of the basic methods included here.
1947. Learning Objectives
1948. Upon completion of this module, the student should be able to:
1949. 1.    identify the objectives of developing a corporate security program.
1950. 2.    identify the major components of a corporate security plan.
1951. 3.    identify the responsibilities of different levels of the corporate structure for a corporate security plan.
1952. 4.    discuss the security considerations of computer connectivity and different organizational structures.
1953. 5.    identify the rationale for risk analysis.
1954. 6.    define contingency planning and describe its place in corporate security management.
1955. 7.    list and discuss the legal issues associated with corporate security management.
1956. 8.    define system validation and verification.
1957. 9.    discuss the role of the Information systems audit function and how it fits into corporate security management.
1958.  
1959. Prerequisites
1960. Students should have completed the following classes or their equivalent. Principles of Management, Organizational Behavior, and Introduction to Computer Information Systems. Business Policy would be of benefit either as a pre- or as a co-requisite.
1961. Topic Outline
1962.  
1963. I.    Overview
1964. II.    Development of Security Program
1965.     A.    Objectives
1966.         1.    Identify Sensitive systems/data
1967.         2.    Security Plan
1968.         3.    Training
1969.     B.    Policies
1970.         1.    Written and Communicated
1971.         2.    Board of Directors responsibility
1972.         3.    DPMA Model Policy
1973.     C.    Connectivity, Corporate structure, and security.
1974.         1.    Connectivity defined
1975.         2.    Affect on Corporate Structure
1976.         3.    Security considerations
1977.     D.    Plans
1978.         1.    Human Resource Management
1979.         2.    Access Control
1980.         3.    Data Control
1981.         4.    Labeling
1982.         5.    Contingency Plan
1983.         6.    Legal Responsibilities
1984.     E.    Responsibilities
1985.         1.    Board of Directors
1986.         2.    Board of Directors & Senior Management
1987.         3.    Middle Management
1988.         4.    Users
1989. III.        Risk Analysis
1990.     A.    Reason
1991.     B.    Typical Contents
1992.     C.    Main Purposes
1993. IV.        Contingency Planning
1994.     A.    Defined
1995.     B.    Backup
1996. C.    Critical Elements
1997. V.        Legal Issues for Managers
1998.     A.    Licenses
1999.     B.    Fraud/Misuse
2000.     C.    Privacy
2001.     D.    Copyright
2002.     E.    Trade Secrets
2003.     F.    Employee Agreements
2004. VI.        System Validation & Verification (Accreditation)
2005.     A.    Plan Testing
2006.     B.        Acceptance of Responsibility
2007. VII.    Information Systems Audit
2008. VIII.    Computer Security Check List
2009.     A.    General Information
2010.     B.    General Security
2011.     C.    Fire Risk and Water Damage Analysis
2012.     D.    Air Conditioning Systems
2013.     E.    Electrical Systems
2014.     F.    Natural Disasters
2015.     G.    Backup Systems
2016.     H.    Access Control
2017.     I.    System Utilization
2018.     J.    System Operation
2019.     K.    Software
2020.     L.    Hardware
2021.     M.    File Security
2022.     N.    Data File Standards
2023.     O.    Shared Resource Systems Security
2024. Annotated Outline
2025. I.    Overview
2026. Every corporation has a responsibility to itself, to its clientele, and to society in general, to exercise good control over its information systems. Internal operations rely on accurate and timely data and information; personal data about employees and clients must be kept confidential; and much of the corporation's competitive position may depend on controlling the information it has. All these, and other factors, imply that a corporate security plan is an important element in proper operation of a firm.
2027.  
2028. II.    Development of Security Program
2029. A corporation needs a general security policy. The policy must be developed and supported by management at all levels of the organization, from the highest to employees at the operational levels. Critical elements for the development process of a corporate security plan, as for any other planning process, include defining objectives, defining policies in support of those objectives, and devising plans to implement the policies. (Senior management and board of directors are responsible for defining objectives and policies rests at the highest level; lower levels of management devise plans and implementation strategies). People at all levels must be aware of their individual responsibilities.
2030. A.    Objectives
2031. Three activities are recommended as a basis of the general security policy:
2032.     Identify sensitive systems and data;
2033.     Create plans for ensuring security and control of such systems;
2034.     Develop and implement personnel training programs.
2035.  
2036. The most compelling argument in support of security management from the corporation's standpoint is that confidential data may give a competitive advantage. The firm may lose this advantage may be that is lost if controls break down, with the consequent possibility of the firm's demise if legal requirements have been violated materially.
2037.  
2038. Each corporation has its own strategic imperatives; objectives for a corporate security plan will follow, combined with the guidance offered by applicable legislation.
2039. B.    Policies
2040. The board of directors and senior management of a corporation must set strategic objectives for the management of corporate security; policies to guide implementation are also a senior level responsibility. Specific examples of policies change from company to company, but most include statements like, "This firm is committed to ethical and professional behavior." One model for corporate policies is found in the Data Processing Management Association's Model Corporate Security policy; other models are available in various texts including or.
2041. C.    Connectivity, corporate structure, and security.
2042. 1.    Connectivity defined
2043. The major thrusts of computer development in the past forty years have been the growing ease of use and growing interconnection of systems. Today, major manufacturers market computers that use compatible operating systems, from microcomputers to mainframes (UNIX or DOS). Postscript is a language accepted by an ever increasing number laser printers and by almost all new typesetting machines; it is becoming a standard language for describing marks on paper. Word processors are available that accept files from IBM compatible machines into Macintosh computers and vice versa. Networks may span continents, or simply connect rooms.
2044.  
2045. Connectivity means more than compatible operating systems, compatible languages, communications, and in a holistic sense, computers simply become more pervasive and easier to use. Like a telephone network, the utility is used, with the user unaware of details of the pieces such as DOS or satellite protocols in the case of long-distance telephone.
2046. 2.    Effect on Corporate Structure
2047. Connectivity makes a physically and/or organizationally decentralized form of corporate structure much easier to support. Connecting computers accommodates moving decision making as close as possible to the point where workers actually accomplish things. There are many reasons a decentralized structure may be chosen (see any text on organization structure for examples); connectivity makes it simple.
2048. 3.    Security considerations
2049. When planning the basic structure of the organization, the board of directors and senior management should be aware that there are security risks involved in moving to greater connectivity. One may purchase a personal computer, write one's own software for everything desired, and never communicate with another system; this computer is almost totally immune to things like computer viruses. Connectivity refers to a system of communications exposures, exposures caused by using programs created in an unsecured environment in a formerly secure environment.
2050.  
2051. The details of the exposures are covered in other available modules (Database System Security, Communications Security, Systems Security). In the context of corporate security management one must recognize that increased connectivity implies increased exposure.
2052. D.    Plans
2053. Plans to implement security policies depend on the level of management involved. Operations management may be concerned with subjects like physical access to a computer room; user department management may be concerned with correct use of application systems; human resources management may be concerned with proper training programs and career path counseling, and so on. Items which must be included in any effective set of security plans include:
2054.     Access Controls: identify and authenticate users to protect against computer crime;
2055.     Data Security Programs: base data security programs on the fact that a corporation depends on its computer system.
2056.     Data Labeling: safeguarding sensitive data to the degree of control necessary for defined protection.
2057.     Human Resources Planning: hire properly qualified people and ensure good employee-management relations and effective training programs.
2058.     Contingency Plan: plan for problem avoidance and recovery.
2059.     Legal Responsibilities: understand and provide for legal requirements.
2060. More material about the elements of these plans is available in several references.
2061. E.    Responsibilities
2062. Board of Directors and Senior Management define corporate security objectives;
2063.  
2064. Senior Management and Board of Directors define corporate security objectives, define policies to achieve these objectives, and ensure that mechanisms for communicating those policies are in place. This may include tying both compensation and promotion of managers to success in meeting the corporate security objectives.
2065.  
2066. Middle Management (e.g., Human Resources Manager, DP Manager, Plant Management) defines staff procedures to ensure proper policy implementation;
2067.  
2068. Employees are responsible for ensuring that elements under their control are carried out according to policy and procedures to maintain effective control and security.
2069. III.    Risk Analysis
2070.     Begin the actual development of a plan with some form of risk analysis. At the least, identify sensitive systems and data; the estimate the value of these systems; and identify threats, such as listed below. If developers do nor assess the risks faced and the value of assets exposed, the security plan really is in a vacuum and cannot be very effective.
2071.  
2072.     Many kinds of risks can be identified; these vary depending upon the situation, but typical ones include:
2073.     Sabotage (Trojan horse, trap door, time bomb, virus, worm);
2074.     Environmental(fire, flood, power outage, etc.) ; and
2075.     Errors (input entry mistakes, poor quality control in system development, etc.)
2076.  
2077. Many methods have been developed to quantify risk analysis data, the purpose of which is to reduce inexact opinions to a form that permits adding up exposures and determining a dollar figure. Various metrics, including so-called "fuzzy metrics," may be used.
2078.  
2079. Formal methods include estimating the probability of loss, multiplying by the value of the exposed asset, and adding these numbers (see, for example ). In practice, this approach tends to lead to a sea of numbers that loses all real meaning ("paralysis by analysis"). The ease with which computers produce numbers has not helped this simplify problem.
2080. Two main purposes of risk analysis are to:
2081.     Assure that management does not overlook significant intentional or accidental threat to the information system;
2082.     Assure that by cost-benefit analysis, management avoids spending more to control an exposure than the potential loss.
2083.  
2084. IV.    Contingency Planning
2085. The key elements of a contingency plan are "protection, detection, and recoverability."
2086.  
2087. A contingency plan acknowledges that disaster can happen: the organization must design a plan to accommodate the survival of organizational operations in the event of flood, fire, earthquake, electrical disturbance, or other unexpected events that can disrupt the organization's systems. Risk analysis should offer guidance on the likelihood of various contingencies, and in what resources to invest providing such recovery methods as off-site systems, backups and so on. Several references discuss contingency planning.
2088.  
2089. Every effective contingency plan must consider backing up data files.
2090.  
2091.     Most critical to the firm is that a contingency plan:
2092.     exists;
2093.     is communicated to employees; and
2094.     is tested regularly.
2095.  
2096. V.    Legal Issues for Managers
2097. Managers, particularly senior managers, must deal with potential legal problems and requirements (the most complete treatment for the non-lawyer is in ) These include:
2098. A.    Licenses
2099. Application software for microcomputers, and even for large installations, normally is licensed rather than owned. The organization risks serious legal problems if terms of the license are not followed
2100. B.    Fraud/Misuse
2101. Fraud is straightforward-corporate security planning must include consideration for possible fraud by employees, contractors, customers, or non-associated people. Misuse includes penetration by unauthorized users, unauthorized copying, negligence and similar exposures.
2102. C.    Privacy
2103. The organization may have legal, or other responsibilities to safeguard data about customers, employees, or others from disclosure.
2104. D.    Copyright
2105. Related to licensing, some organizations may need to be very careful about copyright. Publishers and educational institutions are obvious candidates here.
2106. E.    Trade Secrets
2107. Trade secret legislation is one method open to organizations to protect their confidential data. The corporate security plan should identify circumstances, if any, where trade secret may be appropriate. Use of trade secrets to protect confidentiality imposes certain, legal requirements on the organization, and the overall plan should identify these requirements.
2108. F.    Employee Agreements
2109. Among the issues involved in protecting trade secrets is the need to ensure that employees are aware that they are secrets. This usually is accomplished through an employment contract (plus other administrative actions of the organization's operations.) A typical contract includes clauses limiting employee use or disclosure of corporate data after the employee leaves. The corporate security plan needs to address clauses needed in employee contracts.
2110. VI.    System Validation & Verification (Accreditation)
2111. Test contingency plans; similarly, it is critical to test all aspects of the corporate security plan. Does the plan meet the originally identified needs; does it work as planned? Accreditation occurs when a responsible manager "signs off," that is, attests that the system is in conformance with the plan. The appropriate signing authority depends on the portion of the plan in question.
2112. VII.    Information Systems Audit
2113. The information systems' audit employs an outside entity to assess the organization's corporate security (and other information systems) plan. The auditor should attest whether or not the plan meets accepted standards, and should identify strengths and weaknesses.
2114.  
2115. VIII.    Computer Security Check List
2116. Since this module represents the capstone effort of the computer security curriculum, include a checklist for computer security. Necessarily, aim this list at large organizations with mainframes; the list also includes most information needed for microcomputer system security.
2117. A.    General Information
2118. 1.    A detailed Statement of Threat for the organization.
2119. 2.    A Statement of Threat for individual locations.
2120. 3.    A list containing phone numbers for all individuals involved in the organizational security.
2121. 4.    A policy document detailing how the security personnel have access to the MIS personnel.
2122. 5.    Documentation on the training of all MIS personnel.
2123. 6.    An organization chart and documentation demonstrating the separation of duties to minimize opportunity for collusion.
2124. 7.    Documentation of a MIS Security Group (MSG) or equivalent. This documentation should include but not necessarily be limited to:
2125. a.    Names, functions, and phone numbers of all members (for emergency access).
2126. b.    Security Specialists, Operations Specialists, Physical Security Specialists, Auditor, Facilities Engineer, Communications Security Specialists, and others with appropriate skills are fully represented on the committee.
2127. 8.    Documentation for each area that demonstrates that an effective liaison has been established with local support activities in the following areas:
2128. a.    Plant engineering and facilities, construction, electrical, air conditioning, and site preparation.
2129. b.    Physical security.
2130. c.    Personnel.
2131. d.    Safety (Safety Officer, Fire Marshal, Transportation).
2132. e.    Records management.
2133. B.    General Security
2134. 1.    Documentation that each area has been designated a restricted area in accordance with current company policy, if appropriate.
2135. 2.    Documentation of security policies and procedures.
2136. 3.    Documentation of internal audit efforts that determine compliance with security procedures.
2137. 4.    Documentation of a formal risk management program.
2138. C.    Fire Risk and Water Damage Analysis
2139. 1.    Specific site documentation for fire risk and exposure should contain, but not necessarily be limited, to the following:
2140. a.    The construction techniques that demonstrate the fire resistance of the building containing the system. Raised floors and ceilings, curtains, rugs, furniture, and drapes should be from non combustible materials.
2141. b.    The procedures used to manage the paper and other combustible supplies for the computer facilities. In addition, this should document the control of inflammable or dangerous activities in areas surrounding the computer room.
2142. c.    The storage of magnetic media outside the computer room.
2143. d.    The periodic training of operators in fire fighting techniques and assigned responsibilities in case of fire.
2144. 2.    Documentation that each site has computer fire protection.
2145. a.    Automated carbon dioxide. If so, do all personnel have training in the use of gas masks and other safety devices.
2146. b.    Halogenated agents.
2147. c.    Water (either wet pipe or preaction alarm).
2148. 3.    Documentation that portable fire extinguishers are spread strategically around the area with markers visible above computer equipment.
2149. 4.    Documentation that power shutdown switches are accessible at points of exit. Switches should shut down the air conditioning flow as well.
2150. 5.    Documentation on the location of smoke detectors. Are they located in the ceiling, under raised floor, in air return ducts? It should answer the following questions:
2151. a.    Will air conditioning systems shutdown on detection of smoke?
2152. b.    Who will perform the engineering analysis of function of smoke alarms and how often?
2153. c.    Who tests smoke detection system and how often?
2154. d.    Who is responsible for fire drills and how often should they occur?
2155. 6.    Documentation of sub floor cleaning and contents, if appropriate. It should include:
2156. a.    water supplies for fire fighting
2157. b.    battery powered emergency / evacuation lighting
2158. c.    manual alarm systems
2159. 7.    Documentation of fire alarm systems to include where they ring, who will respond and how.
2160. 8.    Documentation of 24 hour attendance and procedures for reporting problems.
2161. 9.    Documentation of control of potential water damage that includes:
2162. a.    The elimination of overhead water and steam pipes except for sprinklers.
2163. b.    The existence of subfloor drainage including drainage away from all hardware.
2164. c.    The protection of electrical system from water damage in subfloor area.
2165. d.    The water integrity of doors, windows and roof.
2166. e.    The location of sheeting materials for protection of hardware components from water damage.
2167. D.    Air Conditioning Systems
2168. 1.    Documentation of the air conditioning system should include:
2169. a.    Unique use of computer air-conditioning system.
2170. b.    The existence of fireproof ducts and filters.
2171. c.    Location of compressor.
2172. d.    Backup air-conditioning availability.
2173. e.    Fire protection of cooling tower if applicable.
2174. f.    Air intake protection with protective screening, and is it above street level.
2175. g.    That the air intakes prevent the uptake of pollutants or debris.
2176. 2.    Document the temperature and humidity recording and control.
2177. E.    Electrical System
2178. The electrical system is frequently a weak link in information security. PC/workstations are often overlooked as a source of problems.
2179. Document electrical system reliability by showing:
2180. 1.    That uninterruptible power supplies are available at those locations that require them.
2181. 2.    That motor generator systems are backed up and that there are lightning arrestors on appropriate circuits.
2182. 3.    The reliability of the commercial power supply and that it is clean power if the system relies on it.
2183. 4.    That the security system will continue to function even after a power failure.
2184. 5.    The backup system test frequency and results.
2185. F.    Natural Disasters
2186. Document the resistance to natural disaster by showing:
2187. 1.    The structural soundness and resistance to windstorms, floods and earthquakes. This would include demonstrating that the buildings are remote from earthquake faults or earthquake proof. Show relationship to geothermal/volcanic areas.
2188. 2.    Proper grounding of all electrical equipment for lightning protection.
2189. G.    Backup Systems
2190. 1.    Document the existence of backup systems for all critical systems at the site. This should include, but not be limited to:
2191. a.    A fully articulated agreements for backup computers in -
2192. 1)    the same room.
2193. 2)    another room in the same building.
2194. 3)    a separate location.
2195. b.    Benchmarks or other indicators that the backup systems can, in fact, handle the intended workload.
2196. c.    Copies of the contract granting access to computers owned by others.
2197. d.    Quarterly tests, performed to familiarize staff with procedures for using backup system.
2198. e.    A full security review and plan for backup system ,if needed.
2199. 2.    Document a full written contingency plan covering:
2200. a.    Individuals who are responsible for each functional area.
2201. b.    A current "who calls whom" list with alternates. This list should include but not be limited to: Management, Emergency Crews, Selected Users, Service Personnel, Facilities Personnel, and Points of contact at backup sites.
2202. c.    Detailed descriptions of the criteria for determining the duration of disruptions to service.
2203. d.    Individual responsibilities for retaining source documents and/or data files for each application.
2204. e.    Individual responsibilities for the destruction or safeguarding of classified materials in the computer facility in the event the facility must be evacuated.
2205. f.    Individual responsibility for the purchase or lease of new or temporary computer equipment.
2206. g.    Individual responsibility for the acquisition of:
2207. 1)    Air conditioning equipment.
2208. 2)    Computer time/services.
2209. 3)    Additional manpower.
2210. 4)    Furnishings, cabinets, etc.
2211. 5)    Replacement tapes and disk packs.
2212. 6)    Alternate sites and their preparation.
2213. 7)    Travel accommodations for essential personnel.
2214. 8)    Orderly transportation of computer jobs, personnel, and related materials and appropriate coordination with security.
2215. 9)    Duplication of backup files.
2216. 10)    Continuing security in the contingency mode.
2217. h.    Document the existence of a contingency training program for all computer personnel
2218. H.    Access Control
2219. 1.    Document the access control that is unique to the computer facilities by showing:
2220. a.    That a general guard schedule provide adequate physical security in accordance with the Statement of Threat and a positive identification system exists for all employees.
2221. b.    That the access to computer areas is restricted to selected personnel this would include, but not be limited to:
2222. 1)    Unescorted access to the equipment.
2223. 2)    Files are segregated so that only specific individuals have access.
2224. c.    That an adequate visitor control procedure exists that including:
2225. 1)    Escorts procedures
2226. 2)    Proper training of potential escorts about their responsibilities.
2227. 3)    Personnel trained to challenge improperly identified individuals.
2228. d.    That security and operations personnel are briefed on how to react to civil disturbances.
2229. e.    That a good liaison program exists with local law enforcement agencies and that suitable articulation agreements are in place.
2230. f.    That all personnel know how to handle telephone bomb threats.
2231. 2.    Document that background checks and rechecks are performed on all employees.
2232. 3.    Document that policies exist to ensure that computer employees are cross-trained to cover all essential functions.
2233. 4.    Document the existence of a continuing personnel education program in computer security matters. This should include but not be limited to:
2234. a.    Knowledge of the provisions of company security policies and procedures
2235. b.    Personnel training of supervisors in human behavior to aid managers in identifying changes in personality and living habits of their people
2236. c.    Personnel training of supervisors so that they can identify possibly disgruntled employees.
2237. d.    Personnel policies that allow for containment or immediate dismissal of employees who may constitute a threat to installation.
2238. 5.    Document that all exterior windows accessible from the ground level are covered with metal grills.
2239. 6.    Document that no one can gain access to the computer area without the knowledge of a guard or another employee.
2240. 7.    Document that the computer facilities are manned by at least two appropriately cleared personnel at all times.
2241. 8.    Document that housekeeping standards for the computer room includes the prevention of accumulation of trash in the computer area and that floors (and associated under floor areas), equipment covers and work surfaces are cleaned regularly.
2242. 9.    Document that waste baskets in the computer room are of metal material with closing tops and that they are dumped outside the computer area to minimize dust.
2243. 10.    Document smoking rules in the computer facility. If smoking is allowed, document the existence of self-extinguishing ash trays.
2244. I.    System Utilization
2245. 1.    Document that the hardware utilization policy includes but is not limited to:
2246. a.    that systems comply with operations schedules
2247. b.    that techniques exist for matching meter hours to operational hours. This is to ensure that the equipment is not being used for unauthorized purposes during off duty hours.
2248. c.    that a regular maintenance schedule exists for hardware to ensure reliability and that maintenance personnel have appropriate security clearance.
2249. d.    that batch type jobs are logged and cross-checked against an authorized job list.
2250. e.    spot checks of output for possible misuse of a system and that output distribution systems prevent an unauthorized person from receiving a confidential report.
2251. 2.    Document communications control techniques.
2252. 3.    Document the existence of emanation security (no RFI detectable outside computer facility).
2253. J.    System Operation
2254. 1.    Document that erasure and declassification procedures include the erasure and overwriting of classified data before the contents of that memory can be reused.
2255. 2.    Document that the necessary programs, equipment, and procedures exist for declassifying any and all computer equipment used for the processing or storage of classified data on site.
2256. 3.    Document that policies exist for magnetic tapes and disks that require:
2257. a.    Accountability for use and cleaning frequency of tapes and disks.
2258. b.    Use by authorized individuals only.
2259. c.    The orderly filing of tapes and disks.
2260. d.    Tapes Storage (vertically and in containers) except when in use.
2261. e.    Tape and disk pack utilization records.
2262. f.    The frequent cleaning of tape heads to insure data reliability.
2263. g.    Location of the media library in an area secure from explosion or other dangers.
2264. h.    The use of magnetic detection equipment to preclude the presence of a magnetic field near the magnetic media.
2265. i.    Adequate protection for magnetic media while in transit between locations.
2266. 4.    Document that media or devices are marked with:
2267. a.    Date of creation.
2268. b.    Highest classification level of any information contained on the media.
2269. c.    Downgrading or exemption instructions when placed in permanent files.
2270. d.    A unique identifier.
2271. e.    The classification of the system's environment when the product was produced, if the assigned classification cannot be immediately verified by the customer.
2272. f.    Special access restrictions.
2273. g.    Color codes.
2274. K.    Software
2275. 1.    Document that software security policy includes the following:
2276. a.    That physical security includes backup file systems at a secondary location for both the programs and the associated documentation. Essential programs, software systems, and associated documentation of programs in the library are located in a locked vault or a secured area.
2277. b.    That access to the essential programs an software systems is restricted to a need to know basis in the prime and backup areas.
2278. c.    That a multilevel access control to the data files (read/write/update, block, record, field, and characters) is provided by various levels of security classification.
2279. d.    That periodic checks are made to validate the security software utilities and the tables of access codes.
2280. e.    That techniques are employed that preclude more than one user updating files at any given time, in those areas where remote access to on-line data bases is allowed.
2281. 2.    Document that in those areas that allow access by remote terminals:
2282. a.    That keyword or password protection with periodic changes of passwords is employed.
2283. b.    That data is encryption (either hardware or software) techniques are employed during transmission of vital data.
2284. c.    That terminal users are restricted to higher level language access only.
2285. L.    Hardware
2286. 1.    Document that the operating systems are protected from unauthorized activity by:
2287. a.    Maintaining built in protection to prevent the bypassing of security utilities and unauthorized access to data bases by a knowledgeable programmer familiar with the system.
2288. b.    Demonstrating that memory bounds are tested following maintenance, initial program load and each restart.
2289. c.    Verifying vendor modifications to the operating system before being installed on the system.
2290. d.    Verifying all local modifications to the operating system by the security officer or personnel designated by him.
2291. e.    Maintaining a record of all operating system modifications until at least the next software release.
2292. f.    Monitoring software technologists to ensure that they do not circumvent the normal access procedures by the use of special coding.
2293. 2.    Documenting that applications programs are designed to restart using internal recovery procedures.
2294. 3.    Documenting that all programming changes and maintenance are well controlled. Configuration Control.
2295. 4.    Documenting that threat monitoring is accomplished by showing:
2296. a.    That a log of those who access data banks or sensitive files is maintained.
2297. b.    That there are software security routines that monitor unauthorized attempts to access portions of the system via on-line notification of an operator or end of day printout.
2298. c.    That attempts to misuse the system are followed up in a systematic manner and according to the appropriate rules established by the SSO and the MIS manager.
2299. 5.    Documenting that in house service personnel are controlled in their access to vital areas. All non cleared individuals should have special escorts while performing their tasks.
2300. 6.    Document that a list of vendor authorized service and system support personnel is maintained. That positive identification of these individuals is required and that they do not compromise security.
2301. M.    File Security
2302. 1.    Document that on line and off line program files are:
2303. a.    Protected by copies being maintained in a separate building from the original.
2304. b.    Stored in low fire hazard containers.
2305. c.    That there is a current inventory of the files.
2306. 2.    Document that system backup dry runs are attempted on a regular (quarterly) basis and that the backups contain programs currently under development..
2307. 3.    Document that program changes are controlled and recorded and that changes are made only to a reproduced version of the original program file with the original left intact.
2308. 4.    Document that computer operations staff review systems documentation on a regular basis to ensure compliance with operational standards.
2309. 5.    Document that minimum documentation standards are met throughout all operational sections. Documentation should include but not be limited to:
2310. a.    Detailed production specifications.
2311. b.    A comprehensive narrative description of the function of the program.
2312. c.    Detailed logic or flowcharts following established industry standards.
2313. d.    Current program listings.
2314. e.    Input and output formats.
2315. f.    Output samples.
2316. g.    User documentation.
2317. h.    Copies of test data used to generate output samples following the procedures in the user documentation.
2318. i.    Explanations of codes, tables, calculations and other details unique to the particular program.
2319. j.    Explanations of all error messages, and program halts.
2320. k.    Procedures for handling rejected records.
2321. l.    File sequence descriptions.
2322. m. Control and balancing instructions.
2323. 6.    Document that duplicates of all documentation are stored in low fire hazard storage equipment in a separate building from the original.
2324. 7.    Document that the documentation is inventoried at least annually and that the backups are reviewed periodically to ensure that the documentation package is current.
2325. 8.    Document that changes in programs and documentation coordinated and approved by the cognizant areas and that theses changes are reviewed by the internal auditor.
2326. N.    Data File Standards
2327. 1.    Document that there is a retention cycle for all data files for all applications. This retention cycle review should include:
2328. a.    Certification that the data and documentation retention cycles are coordinated with the file reconstruction procedures.
2329. b.    Review by the user for compliance.
2330. c.    Certification that the data files are maintained within and under the control of the computer complex rather than the user.
2331. d.    Certification that all files are properly classified in terms of degree of sensitivity and value to the organization.
2332. 2.    Document that the data files are kept in:
2333. a.    an area other than the computer room.
2334. b.    a fire protected area.
2335. c.    Kept in an access controlled area.
2336. d.    low fire hazard storage containers.
2337. 3.    Document that dry runs of the data file security system are performed periodically to ensure compliance with standard procedures.
2338. 4.    Document that the staff members understand and comply with the legal requirements for file retention and that they understand the relative value of the programs and applications.
2339. 5.    Document that an overall audit control philosophy relating to computer systems concerned assets exists. This philosophy should include:
2340. a.    Computer usage and production controls.
2341. b.    Control of user input to ensure receipt of all data.
2342. c.    Monitoring of output to meet site established standards.
2343. d.    Error reporting and follow-up procedures.
2344. e.    Control of program changes.
2345. f.    Certification that all program options have been tested.
2346. g.    Certification that program conversions provide similar results and do not disrupt production continuity.
2347. h.    A policy detailing the separation of duties.
2348. i.    Policies for both hardware and software backups.
2349. j.    The auditibility of the system.
2350. k.    A policy of auditor involvement during the development cycle.
2351. O.    Shared Resource Systems Security
2352. 1.    Document that for resource sharing systems, remote terminals are available only to selected individuals. This access may be controlled by one or more of the following:
2353. a. Locked doors.;
2354. b. Posted guards;
2355. c. Other approved restraints.
2356. 2.    Document that terminals are located such that each user's privacy is ensured.
2357. 3.    Document the use of passwords and the fact that:
2358. a.    they are tamper proof.
2359. b.    they are linked to individuals and locations.
2360. c.    that they are combined with physical keys.
2361. d.    the ability to change passwords is closely controlled.
2362. 4.    Document that systems software restricts a given individual to specific data files. This access should control the right to add, delete or modify files.
2363. 5.    Document that the system maintains accurate records of all activity against each data file and that security override procedures are closely monitored.
2364. 6.    Document the procedures used to monitor the changes to the operating and security systems.
2365.  
2366.  
2367. Teaching Considerations
2368. A.    Suggested Schedule
2369. 1.    Overview    0.25 hours
2370. 2.    Development of Security Program    2 to 3 hours
2371. 3.    Risk Analysis    0.5 hour
2372. 4.    Contingency Planning    0.5 to 1 hour
2373. 5.    Legal Issues for Managers    0.5 to 1 hour
2374. 6.    System Validation & Verification    0.5 hour
2375. 7.    Information systems audit    0.5 hour
2376. B.    Case Studies/Examples
2377. Course Project: Develop a corporate security management plan showing type and environment of corporation.
2378. C.    Homework and Lab Exercises.
2379.  
2380. Bibliography
2381. U.S. Congress, "The Security Act of 1987", PL-100-235.
2382. This law describes the policy of the Federal Government regarding computer security. Among other things the law covers the identification of sensitive systems, the development of a security program and plan, and the need for training of all users, developers and operations associated with a system.
2383. "Model Computer Crime Act," Data Processing Management Association, Park Ridge, IL, 1986.
2384. This model act incorporates the establishment of civil procedures for redress of victims of computer crime. The DPMA's model act also proposes forfeiture of property, guidelines for what evidence will be considered in a computer crime case (rules of evidence), a good definition of computer crime, suggested punishments including increased penalties for repeated violations and suggestions for jurisdiction.
2385. Fites, Philip E., Martin P. J. Kratz, and Alan F. Brebner, Control and Security of Computer Information Systems, W. H. Freeman/Computer Science Press, September. 1988.
2386. A textbook intended to support college level courses in computer security for technicians and accountants, or to serve as a reference for computer law courses. Contains considerable detail on the material mentioned in this module. A useful reference as well.
2387. Parker, Donn B, Computer Security Management, Reston Publishing Company, Inc., Reston, Virginia, 1981.
2388. Another classic, and contains as well considerable information that has not become too dated. One of the primary drivers of the security field has been Donn Parker, and this book covers many topics to which students need exposure in a computer security course.
2389. Pfleeger, A., Network Security, Department of Defense, 9800 - Savage Road, Ft. Meade Maryland, 20755-6000, ATTN: S32.
2390. Module from the Department of Defense 1987 project for computer science/engineering students.
2391. Hsiao, David and Terry Mayfield, Database System Security, Department of Defense, 9800 - Savage Road, Ft. Meade Maryland, 20755-6000, ATTN: S32.
2392. A draft curriculum module developed at a workshop sponsored by the National Computer Security Center and hosted by the Institute for Defense Analysis, June 1987.
2393. Walston, Claude, and Lisa Hinman, Communications Security, IDA Memorandum security breach dealing with possible misappropriation of data, computer programs blueprints, plans, laboratory notes or similar material. It is for that reason that the information security specialist will want to be familiar with some basic communications security.
2394. Spiro, Bruce E. & Schou, Corey D., "System Security," in Information Security Modules, Department of Defense, 1988.
2395. "Systems Security" is an upper level module that gives a detailed review of security issues and the integration of these details into an organizational security program.
2396. Johnson, Douglas W., Computer Ethics: A Guide for the New Age, The Brethren Press, 1984.
2397. This low-cost, readable paperback book introduces critical issues, including: personal data, decision-making and identifying, building and maintaining ethics in a computer society. This book addresses the question of ethics in the indiscriminate use of the personal computer. The concept of what ethics are is proposed and suggestions are made for establishing a code for personal computer use.
2398. Computer Control Guidelines, Second Edition, Canadian Institute of Chartered Accountants (CICA), February, 1986.
2399. One of the most recent publications identifying control points and offering guidelines to auditors and others in the accounting profession.
2400. Lobel, Jr., Foiling the System Breakers; Computer Security and Access Control, McGraw Hill, 1986.
2401. This book examines computer fraud and industrial espionage with a focus on access control. It discusses risk analysis, system security policy, selections of tools and technology and the implementation process. One of the best references. There is a mild bias toward Honeywell approaches, but it is limited and mostly confined to specific sections.
2402. Hoffman, Cook & Mayfield, Risk Analysis, Department of Defense, 9800 - Savage Road, Ft. Meade Maryland, 20755-6000, ATTN: S32.
2403. Module on Risk Analysis from the Department of Defense 1987 project for computer science/engineering students. Most of the concepts apply equally in the business area, although the quality control material in this module is from an engineer's perspective.
2404. "EDP Threat assessments: Concepts and Planning Guide," RCMP Security Information Publications # 2, Jan. 1982.
2405. Goes into somewhat more detail about one method of attaching dollar values to risks and exposures. Includes forms useful as a guide to setting up this process.
2406. Schmucker, Kurt J., Fuzzy Sets, Natural Language Computations, and Risk Analysis, Computer Science Press, 1984.
2407. A published monograph that is quite good in explaining what fuzzy sets are, etc. and how to use the concepts in doing asset valuation and risk assessment in security planning. Computer programs for implementing the method are included.
2408. National Technical Information Service, Risk Analysis Methodology, AD-A072-249, Dept. of Commerce, Springfield, VA, 1979.
2409. A technical paper describing methods of risk analysis.
2410. Richards, T., Schou, C.D. & Fites, P.E. "Information Systems Security Laws and Legislation," in Information Security Modules, Department of Defense, 1989.
2411. Richards, et. al. review topics, timely laws and legislation about computer security as it relates to the individual and the organization.
2412. Gallegos, Frederick, Dana R. (Rick) Richardson, & A. Faye Borthick, Audit & Control of Information Systems, South-Western Publishing Company, West. Chicago, Ill., 1987.
2413. This may be the most readable book on the topic. Goes into considerable useful detail about the information systems auditing activity. A useful reference as well. Somewhat technical and probably requires an accounting background to be really useful.
2414.  
2415.  
2416.  
2417.  
2418.  
2419. INTRODUCTION TO ACCOUNTING CONTROLS AND EDP AUDITING
2420.  
2421.  
2422.  
2423.  
2424.  
2425. Terry L. Campbell, DBA, CPA, CMA, CCA
2426. College of Business Administration
2427. The Pennsylvania State University
2428. Corey D. Schou
2429. College of Business
2430. Idaho State University
2431.  
2432.  
2433.  
2434.  
2435.  
2436.  
2437.  
2438.  
2439.  
2440.  
2441.  
2442.  
2443.  
2444.  
2445.  
2446.  
2447.  
2448.  
2449. Description:
2450. This module is an introduction to accounting controls and auditing concepts intended for a broad variety of students in courses where an appreciation of such concepts is needed. The module outlines key accounting and auditing concepts and describes the various roles played by management, information systems professionals, internal auditors, and external auditors. It deals with management control, application control, evidence gathering and evaluation, and management of the EDP audit function. The module may be used in junior or senior level information systems courses or integrated in other business courses.
2451.  
2452.  
2453. INTRODUCTION TO ACCOUNTING CONTROLS AND EDP AUDITING
2454. Objective:
2455. This module is to provide the business and information systems major an opportunity to examine accounting controls and auditing from an overall computer security perspective. These fundamentals give insights into the controls and provide a foundation from which a student may wish to explore these topics in more detail.
2456. Learning Objectives
2457. Upon completion of this module, the student should be able to:
2458. 1.    identify and explain the four goals of accounting controls and auditing: asset safety, data integrity, system effectiveness, and system efficiency;
2459. 2.    explain the roles played by management, IS professionals, internal auditors, and external auditors;
2460. 3    recognize the control issues in the systems development cycle;
2461. 4.    describe the need for and functions of access controls;
2462. 5.    identify the need for and functions of input controls; 6.describe the need for and functions of communication controls;
2463. 7.    identify the need for and functions of database controls;
2464. 8.    describe the need for and functions of output controls;
2465. 9.    define the approaches used to gather supporting or disconfirming evidence in reference to controls;
2466. 10.    describe the integration of the four goals and the methods by which the evidence may be judged.
2467.  
2468. Prerequisites
2469. Completion of the first two modules Introduction to Information Protection and on Security Fundamentals would be useful. Some Background on management information systems and accounting information systems is desirable. The student should have some computer laboratory experience with shared data, files or electronic mail on a network and/or mainframe.
2470. Topic Outline
2471. Introduction to Accounting Controls and EDP Auditing
2472. I.    Overview
2473.     A.    Role of the accountant
2474.     B.    Asset Safety
2475.         1.    Organizational Asset
2476.         2.    Computer Resource Abuses
2477.         3.    Value of Systems
2478.             a.    Hardware
2479.             b.    Software
2480.             c.    Personnel
2481.             d.    Operating Systems
2482.             e.    Application Systems
2483.             f.    Data
2484.             g.    Facilities
2485.             h.    Supplies
2486.         4.    Proprietary and Private Data
2487.     C.    Data Integrity
2488.         1.    Pervasiveness of Errors
2489.         2.    Individual decisions
2490. D.    System Effectiveness
2491.         1.    Decision Making Value
2492.         2.    Timeliness
2493.         3.    Support for Competitive Advantage
2494.     E.    System Efficiency
2495.         1.    Proper Uses of Systems and Components
2496.         2.    Misallocation of Resources
2497.             a.    Theft
2498.             b.    Destruction
2499.                 1)    Physical Acts of Nature
2500.                 2)    Physical Acts of Persons
2501.             c.    Disruption of Service
2502.                 1)    Hardware
2503.                 2)    Software
2504.                 3)    Personnel
2505.             d.    Unauthorized Changes
2506. II.    ROLES
2507.     A.    Management
2508.         1.    Top management
2509.         2.    Middle Management
2510.         3.    Entry-level Management
2511.     B.    Information Systems Professionals
2512.         1.    MIS Orientation
2513.         2.    Data Processing Orientation
2514.     C.    Internal Auditors
2515.     D.    External Auditors
2516.     E.    Management Controls
2517. III.    SYSTEMS CYCLE
2518.     A.    Auditor's Involvement
2519.         1.    Concurrent Participation
2520.         2.    Ex Post Review
2521.         3.    Phases and Concerns
2522.     B.    Alternative Models
2523.         1.    Traditional
2524.         2.    Prototyping
2525.         3.    Socio-technical
2526.     C.    Differences in Internal and External Auditors'
2527.     D.    End-user Developed Systems
2528. IV.    GENERAL INTERNAL CONTROLS
2529.     A.    Segregation of Duties
2530.     B.    Proper Delegation of Authority
2531.     C.    Competent Personnel
2532.     D.    Authorization System
2533.     E.    Documentation
2534.     F.    Physical Controls
2535.     G.    Supervision
2536.     H.    Accountability
2537. V.    ACCESS CONTROLS
2538.     A.    Strengths and Weakness
2539.     B.    Encryption
2540.     C.    Personalized Access
2541.         1.    Cards and PINS
2542.         2.    Physical Identifiers
2543.     D.    Audit Trails
2544.         1.    Accounting
2545.             a.    User Identities
2546.             b.    Validation Routines Used
2547.             c.    Access And Usage Desired
2548.             d.    Physical Location Of Originating Site
2549.             e.    Session Times And Dates
2550.             f.    Access Methods And Number Of Tries
2551.             g.    Results Of Access: Authorized Or Rejected
2552.         2.    Operations
2553. VI.    INPUT CONTROLS
2554.     A.    Data
2555.         1.    Preparation
2556.             a.    Conversion to Machine-Readable
2557.             b.    Prepare Totals
2558.             c.    Human Scanning as Quality Control
2559.             d.    Verification
2560.         2.    Gathering
2561.             a.    Paper-Based
2562.             b.    Machine-Based
2563.             c.    Mixture
2564.         3.    Review
2565.             a.    Components
2566.             b.    Design
2567.                 1)    What Data To Gather,
2568.                 2)    How To Gather Data,
2569.                 3)    Who Will Gather The Data,
2570.                 4)    When Will The Data Be Gathered,
2571.                 5)    Data Handled, Retained, And Used
2572.         4.    Controls
2573.             a.    Hash Totals
2574.             b.    Financial
2575.             c.    Document Counts
2576.     B.    Validation
2577.         1.    On-line
2578.         2.    Batch
2579.         3.    Lexical
2580.         4.    Semantic
2581.         5.    Syntactic
2582.         6.    Corrections
2583.     C.    Error Controls
2584.         1.    Error Report
2585.         2.    Field Checks
2586.         3.    Record Checks
2587.         4.    Batch Checks
2588.         5.    File Checks
2589. VII. COMMUNICATION CONTROLS
2590.     A.    Risks
2591.         1.    Reliability
2592.         2.    Unauthorized Uses and Abuses
2593.         3.    Errors
2594.     B.    Technical Failure
2595.         1.    Communications
2596.         2.    Hardware
2597.         3.    Software
2598.         4.    Personnel
2599.     C.    Terrorism and Other Overt Threats
2600.         1.    Aggressive
2601.             a.    Insertion
2602.             b.    Deletion
2603.             c.    Modification
2604.             d.    Intervention
2605.         2.    Non-intrusive
2606.             a.    Note or File Sending
2607.             b.    Monitoring Activities
2608.         3.    Controls
2609.             a.    Audit Trail
2610.             b.    Operations Audit Trail
2611. VIII. PROCESSING CONTROLS
2612.     A.    CPU Controls
2613.         1.    Instruction Set Check
2614.         2.    Status Check
2615.             a.    Kernel
2616.             b.    Supervisor
2617.             c.    Problem
2618.     B.    Memory Controls
2619.         1.    Physical
2620.         2.    Access
2621.         3.    Virtual
2622.     C.    Systems
2623.         1.    Operating
2624.             a.    Protected from Users
2625.             b.    Insulated from its Environment
2626.             c.    Users Isolated from Each Other
2627.             d.    Examples
2628.         2.    Application
2629.             a.    Validation Reviews
2630.             b.    Programming Reviews
2631.             c.    Interfaces among Programs/Routines
2632.         3.    Audit Controls
2633. IX. DATABASE CONTROLS
2634.     A.    Access to Levels
2635.         1.    Name
2636.         2.    Content
2637.         3.    Context
2638.         4.    History
2639.     B.    Application Oversight
2640.         1.    Update Policy
2641.         2.    Reporting Procedures
2642.     C.    Concurrency
2643.         1.    Replication
2644.         2.    Partitioning
2645.         3.    Priorities
2646.     D.    Encryption
2647.         1.    Transportability
2648.         2.    Personalized
2649.         3.    Multiple levels of Access
2650.     E.    Physical Security
2651.         1.    Access
2652.         2.    File Protection
2653.         3.    Data Base Administrator (DBA)
2654.         4.    Backup
2655.     F.    Audit Controls
2656. X.    OUTPUT CONTROLS
2657.     A.    Production
2658.         1.    On-line
2659.         2.    Off-line
2660.         3.    Ad Hoc
2661.     B.    Distribution
2662.         1.    Physical Requirements
2663.         2.    Control
2664.     C.    Presentation
2665.         1.    Content
2666.         2.    Physical Form
2667.         3.    Format
2668.         4.    Layout
2669.         5.    Time Aspects
2670.     D.    Interpretation
2671.         1.    Availability
2672.         2.    Warning System for Further Information
2673. XI.    EVIDENCE
2674.     A.    Needs
2675.         1.    Assess Quality of Data
2676.         2.    Evaluate Processes
2677.         3.    Review Existence of Processes and Data
2678.         4.    Initial Review
2679.             a.    Analytical Review
2680.             b.    Statistical Analysis
2681.             c.    Spreadsheet
2682.             d.    Expert Systems /Decision Support Systems
2683.     B.    Limitations
2684.         1.    Often After the Fact
2685.         2.    Constrained To Extent Of Generalized Audit Software (GAS)
2686.     C.    Generalized Audit Software
2687.         1.    Parallel Simulation
2688.         2.    Integrated Test Facility
2689.         3.    File and Record Extraction
2690.     D.    Specialized Audit Software
2691.         1.    Industry Specific
2692.         2.    Configuration Specific
2693.         3.    Potential to be More Efficient
2694.         4.    Less Flexible Than GAS
2695.     E.    Concurrent Techniques
2696.         1.    Concurrent Integrated Test Facility
2697.         2.    Simulations
2698.             a.    Continuous
2699.             b.    Intermittent
2700.         3.    System Control Audit Review File (SCARF)
2701.     F.    Human Techniques
2702.         1.    Interviews
2703.             a.    Preparation
2704.             b.    Observation
2705.             c.    Evaluation
2706.         2.    Questionnaires
2707.             a.    Determine Objectives
2708.             b.    Plan Questions
2709.             c.    Test
2710.             d.    Deliver
2711.             e.    Analyze
2712.         3.    Observation
2713.             a.    Work As Participant
2714.             b.    Unobtrusive
2715.     G.    Flowcharts
2716.         1.    Document
2717.         2.    Data Flow
2718.         3.    Systems
2719.         4.    Programs
2720.     H.    Machine Techniques
2721.         1.    Hardware Monitors
2722.             a.    Tracks Activity
2723.             b.    Analyzes Activity
2724.         2.    Software Monitors
2725.             a.    Internal to System
2726.             b.    Particular Transaction versus Sampling
2727.             c.    Analyzes Activity
2728. XII.    INTEGRATION
2729.     A.    Asset Safety
2730.         1.    Measurement
2731.             a.    Qualitative
2732.                 1)    Questionnaires
2733.                 2)    Risk Matrix
2734.             b.    Quantitative
2735.                 1)    Expected Loss versus Cost of Controls
2736.                 2)    Expected Time Loss
2737.         2.    Cost-Benefit
2738.     B.    Data Integrity
2739.         1.    Measurement
2740.             a.    Qualitative
2741.             b.    Quantitative
2742.         2.    Cost-Benefit
2743.     C.    System Effectiveness
2744.         1.    Objectives
2745.             a.    Goals of Firm
2746.             b.    Usage
2747.             c.    Types of Usage
2748.             d.    User Satisfaction
2749.             e.    Technical
2750.                 1)    Hardware
2751.                 2)    Software
2752.                 3)    Independence of System Components
2753.         2.    Judgment
2754.         3.    Overall Evaluation
2755.     D.    System Efficiency
2756.         1.    Objectives
2757.         2.    Indicators
2758.             a.    Workload Monitors
2759.             b.    Systems Checks
2760.         3.    Overall Evaluation
2761.     E.    Summary
2762.         1.    Qualitative
2763.             a.    Collect All Items
2764.             b.    Think
2765.         2.    Quantitative
2766.             a.    Financial or Business Terms
2767.             b.    Sensitivity to Assumptions
2768.         3.    Judgment
2769.             a.    Group Decision Making
2770.             b.    Experience Transfer
2771.  
2772. Annotated Outline
2773. I.    Overview
2774. A.    Role of the accountant
2775. The accountant/auditor has a number of roles to play in data processing/information systems environments. These roles include, but are not limited to, asset safety, data integrity, system effectiveness, and system efficiency.
2776. B.    Asset Safety
2777. Information as an asset of the organization has long been recognized by management and in general by society. Individuals and organizations accomplish goals by disseminating or withholding information. Safeguarding such an asset is increasingly paramount in the mind set of management.
2778. 1.    Organizational Asset
2779. As an organizational asset, information and its associated elements occupies a significant share of management's time and effort. The raw accounting numbers cannot reveal the magnitude of importance of the information asset. Consider the cost of market research information, does the cost represent the asset value to an organization that wishes to target a market segment? What about a report on the competition and their likely decisions? What about the cost of a production report? A cash flow analysis? There is a substantial amount of literature that suggests that information is a competitive weapon and that information changes (controls) how a firm might compete, manage, govern, and survive.
2780. 2.    Computer Resource Abuses
2781. Unfortunately, computer resource abuses occur, even in the best of organizations. The key thing to note is that the most common abuses seem to be in information omissions or errors. These errors cause losses to the organization through ineffective and inefficient decision making. Physical catastrophes are the next most common category. These catastrophes include fire, hurricane, flood, power interruptions, and other physical disasters. A substantial set of preventative and recovery measures exist for these disasters. Finally, there is the abuse with the more visible press clippings: fraud, embezzlement, and other unlawful uses of the system.
2782.  
2783. Though one of the latter abuses may be the theft of computer time, it seems unlikely that this is a major contributor in the abuse category. Rather, electronic funds transfer, that permits the amounts to be substantially larger than in a manually executed fraud or embezzlement, appears to be of more primary concern.
2784.  
2785. Individual state laws are being updated and/or have been updated to recognize and take action or correction in the current state of technology including fraud and embezzlement. Accountants and auditors are concerned with safeguarding assets and the proprietary nature of the information contained in the system. Their concern about unauthorized access to information for which there is no valid business reason to provide system access to a particular user or inquirer directs a 'need to know' rule. Other functional managers will recognize the same as their information leaks to competitors or helps to get a business started by a former employee.
2786. 3.    Value of Systems
2787. One cannot deny that systems have value. One may have difficulty stating the value in terms that are understandable and acceptable by the various stakeholders. An accountant/auditor is confronted with the difficulty of accurately assessing the value of each system components; however, the initial outlay of each component is more easily measured than the value of the system. The accountant/auditor might need to acquaint management with the risks of system disruptions in order to focus attention on the value of the systems.
2788. a.    Hardware
2789. Hardware costs are decreasing per unit of CPU time, storage capacity, memory; and making the acquisition of ever increasing powerful computers a normal occurrence. Thus, hardware acquisition becomes an important variable for management review. In addition, networks and workstations are moving more power to each desk. Accountants/auditors need to be alert to appropriate cost-benefit analyses and security issues relative to desktop computing.
2790. b.    Software
2791. Software costs must be managed regardless of the source of the software: custom or package. Software evaluations become critical as the organization tries to develop common applications across the organization. Accountants/ auditors must monitor the evaluation and selection of common software to minimize the capital investment as well as the training and integration costs.
2792. c.    Personnel
2793. Adequately trained personnel are an asset to the organization, yet, no accounting treatment exists for the recording of such assets. Special attention should be paid to information systems professionals relative to stress and possible burnout and the resulting negative results. Special skills are at a premium and the organization may have to increase reliance on third-party vendors to provide these special skills.
2794. d.    Operating Systems
2795. Operating systems are composed of the set of programs that tell the computer how to 'operate' the computer and the application programs. There is increasing need to monitor these operating systems in order to optimize the performance of the system. In addition, the operating system needs to be carefully controlled to prevent intrusion or misuse.
2796. e.    Application Systems
2797. Application systems are the programs that actually direct the computer to perform calculations and other activities directed towards the desired end results. Maintenance of these programs, whether purchased or in-house developed, becomes a central theme of the accountant/auditor as these systems are often modified with or without appropriate review and oversight. The modification routine is a key internal control function.
2798. f.    Data
2799. The organization's data are its lifeblood. The operating and application systems are nothing without data. The data are converted into information to provide reports, etc. to management for decision making. Thus, the integrity of data becomes paramount as an organization strives for competitive advantage. Even before competitive advantage, the organization must rely on timely and accurate data for its daily routine operations.
2800. g.    Facilities
2801. The physical facilities necessary to provide a secure location for the hardware, software, and personnel comprise a significant asset for the organization. One key thing to evaluate is the extent to which the facilities have been reviewed and evaluated for security of hardware, software, and data, and up-to-date cost effectiveness. Local facilities are important as well as back-up sites. These back-up sites, identified in the disaster recovery or contingency plan, may be either hot or cold; a hot site is one with computers and systems available and cold site is one with a minimal time delay necessary reestablish operations.
2802. h.    Supplies
2803. Numerous supplies are necessary just to operate the systems. These supplies include tapes, disks, etc.; many of which need to monitored, not because of the intrinsic value but rather as a general part of controls. In addition, the amounts of data to be damaged, stolen, destroyed, or misclassified without authorization behooves management to exert control over these assets, too.
2804. 4.    Proprietary and Private Data
2805. With the availability of mass storage and increasingly large databases, the possibility of abuses becomes greater. The converse of this argument is that the data is increasingly valuable to the organization for competitive purposes. The accountant/auditor evaluates the extent to which these valuable data are protected and used properly.
2806. C.    Data Integrity
2807. Data integrity means the extent to which the data item represents the 'truth' expected. Thus, data must have aspects such as completeness, representativeness, stability, truthfulness, timeliness, and be uncontaminated. These aspects are gained only at a cost; cost benefit analysis must be used to assess the procedures and controls necessary to maintain and protect data. Unfortunately, the value of data is not easily calculated. Accountant/auditors work with management to assess the cost of controls and the willingness to implement them.
2808. 1.    Pervasiveness of Errors
2809. Because the system necessitates the sharing of data, an error can permeate the system and cause erroneous decisions to be made. Input controls and edit checks take on added importance as the systems become more integrated.
2810. 2.    Individual decisions
2811. Even if the information is only used by one decision maker, the need for integrity is still present. A single decision made without data integrity may lead to significant negative results.
2812. D.    System Effectiveness
2813. The assessment of the degree to which a system (purchased or in-house) meets its objectives is a task often assigned to the accountant/auditor in order to get an objective viewpoint. The system effectiveness check may be done after a project has been in operation for a period of time or done at periodic stages of the design process.
2814. 1.    Decision Making Value
2815. Management may wish to assess the extent to which the system has provided information for decision makers and the value that was added by having the system. Careful review of the decisions and the information systems permit the accountant/auditor to comment on the system effectiveness.
2816. 2.    Timeliness
2817. Getting the right information is not sufficient to ensure effectiveness; the system must deliver the information at the right time. Thus, the timing and delays must be evaluated for contributing to the timeliness information delivery.
2818. 3.    Support for Competitive Advantage
2819. In an increasingly competitive environment, it is vital that each element of the organization contribute to the goals of the organization. Information systems for competitive advantage has been a phrase often uttered but seldom operationalized. Yet, the organization demanding the best of its personnel will task their personnel to be observant and opportunistic for possible competitive advantages through information systems. Accountants/auditors will be asked to assess systems effectiveness in light of these demands.
2820. E.    System Efficiency
2821. Given the increasing resources consumed by information systems it is no surprise that the evaluation of the resource usage is important. Competition for scarce resources is central to the issues that surround information systems. Simply put, there is not enough of any resource to do all the things asked for, needed, or wanted.
2822. 1.    Proper Uses of Systems and Components
2823. Operating systems, application systems, personnel, facilities, and data must all fit together and be used properly. This fit is developed during the architectural planning phase of the software engineering process. Careful attention must be paid to the utilization of the capacities of each of the elements including the human resources. Proper assessment of utilization can identify the need for improved efficiencies or the need for investments in capacity. The optimization of the elements of the system becomes a critical point in the review.
2824. 2.    Misallocation of Resources
2825. Improper use of the information systems resources may take on a variety of facets. The accountant/auditor must evaluate these facets for their risk to the organization and suggest compensating controls to limit the risk.
2826. a.    Theft
2827. Theft of hardware, software, and data become increasingly prevalent as systems become more complex but in smaller and smaller physical size. Theft occurs in a number of different ways: outright theft of software or hardware to use for personal reasons or to sell, competitive information to use in starting a competitive business or to sell to a competitor, or the stealing of computer time to conduct personal business.
2828. b.    Destruction
2829. Recent events have suggested that the possibility of physical destruction is increasingly probable. In addition, as organizations look for ways to downsize, the possibility of overt acts of destruction by disgruntled employees is also increasingly probable. Unintentional destruction and misuse may occur in the normal course of things.
2830. 1) Physical Acts of Nature
2831. Hurricanes, earthquakes, electrical disturbances, temperature extremes, and other such natural disasters must be evaluated and quantified for their risk to the organization.
2832. 2)    Physical Acts of Persons
2833. Physical acts of persons may be made internally by disgruntled employees or customers. Externally, these acts may be in the form of sabotage or espionage.
2834. c.    Disruption of Service
2835. Service disruptions may be caused by an errant program or by intrusive program such as a virus. Such disruptions must be planned for and contingency plans devised to minimize such interruptions. Organizations need to assess the extent to which the organization can survive if the information system is disrupted; most organizations acknowledge that the survival time is becoming shorter and may be even be measured in hours rather than days.
2836. 1)    Hardware
2837. Computer hardware is vulnerable to electrical problems, fire, and water. The unfortunate facts are that systems do crash and malfunction in a variety of ways. The carryover effect is that personnel become disenchanted and suffer a reduction in morale that may lead to a decline in attention to controls.
2838. 2)    Software
2839. Operating systems and application systems may fail due to incorrect versions being placed in use or improper documentation of system changes.
2840. 3)    Personnel
2841. Each of the other failure categories may be contributed to by ineffective and inefficient personnel. Employees with emotional problems or inadequately trained and motivated employees can be as destructive any physical catastrophe.
2842. d.    Unauthorized Changes
2843. Proper controls over changes to operating and application systems must be monitored. Unauthorized changes invite disaster. Careful attention must be paid to mandating proper authorization for changes to programs such as the use of properly executed program change request forms. Discipline is required to act in a controlled manner in responding to emergencies as certain times seem to need emergency measures but emergencies need to be carefully managed in order to minimize the possibility of unauthorized changes.
2844. II.    ROLES
2845. Complex organizations necessitate complex roles for the individuals involved. No organization of any size finds this complexity to be a new thing. What is new is the rate of change inherent in a technologically driven organization.
2846. A.    Management
2847. Management of all ranks and functions play critical roles in the management and control of information systems.
2848. 1.    Top management
2849. Top management focuses on the policies and strategies of the organization and ensures that the information systems function is well managed. Their primary focus is the strategic business plan of the organization and its alignment with the functional plans of the organization. One such functional plan is the information systems plan.
2850. 2.    Middle Management
2851. Functional management in all function including information systems management must play participative roles in the planning, design, development, evaluation, and audit of information systems. These participative roles include the development and implementation of the strategies. In this manner the internal audit staff may be involved in multiple roles.
2852. 3.    Entry-level Management
2853. Entry-level management is oriented to daily tasks and the implementation of controls on an operational basis. Their orientation may be decision oriented but they must be educated to the necessity of good internal controls.
2854. B.    Information Systems Professionals
2855. Information systems professionals must be an integral part of the management team and not just a service function of technologists. This is increasingly critical as the systems become more integrated with each other and pervasive to the organization.
2856. 1.    MIS Orientation
2857. MIS professionals are usually oriented to using information systems for solving business problems. Controls are not the primary focus of their attention; business decision making is.
2858. 2.    Data Processing Orientation
2859. Data processing professionals concentrate on managing a system for optimal performance and timeliness to provide output. Controls may be perceived as a hindrance to optimizing the systems.
2860. C.    Internal Auditors
2861. Internal auditors are employees of the organization, and must be quite familiar with the organization and its goals. These auditors should posses in-depth knowledge of the organization's internal control weaknesses and strengths. Major concerns include the effectiveness and efficiency of a system, and asset safety and data integrity. Management may request a management, or operational, audit so to review the efficacy of the EDP function.
2862. D.    External Auditors
2863. External auditors attempt to assess how well internal controls are in place and functioning in order to determine the extent to which these controls may be relied upon during a financial audit.
2864. E.    Management Controls
2865. Ultimately, good management controls are the key to reliable internal controls being in place and functioning. Management controls apply to the overall management functions of each level, and function, of managers. The accountant/auditor evaluate the extent to which planning, organizing, staffing, directing, and controlling contribute or hinder the goals of accounting and control. In each situation, certain attributes become more or less important. These management controls may be preventive, detective, or corrective. Preventive controls remove or minimize the problem; detective controls identify the problem; and corrective controls change the problem to the proper status. Regardless, the controls set in place by management are what determines the success or failure of the system.
2866. III.    SYSTEMS CYCLE
2867.     The traditional systems life cycle of software development can contain from four to twelve phases, but usually the following five: analysis, design, implementation, operation, and review.
2868. A.    Auditor's Involvement
2869. An audit contains a series of steps: preliminary review, detailed review of management and application controls, compliance testing, substantive testing, and overall evaluation. To develop software for the EDP function of an audit, the auditor must assess the degree to which the system will be relied upon to perform the audit.
2870. Continual discussion and debate has centered on the degree of involvement the auditor should have in the system development phase. The argument centers around possibly reducing the independence of the auditor.
2871. 1.    Concurrent Participation
2872. Controls may be built into the system by having the auditor's participation throughout the life cycle. Though the role of the auditor may not be clear, the need for controls for large, complex systems is very clear.
2873. 2.    Ex Post Review
2874. Auditors may be requested to evaluate the controls after a project is completed or after major phases. Unfortunately, the ex post review may not permit a timely introduction of effective controls.
2875. 3.    Phases and Concerns
2876. If auditor independence is reduced, the credibility of both internal auditors and external auditors may weaken and perceived objectivity may be lost. Thus, management may not place as much confidence in the auditors' statements.
2877. B.    Software Development Methodologies
2878. Since all systems and environments are different, there is no single method to design systems.
2879. 1.    Traditional
2880. The traditional approach is sequential and involves analysis, design, implementation, operations, and review, or similar phases. This method is used in situations where system needs are well-defined. The implementation of such systems involves third-party software as well as in-house developed software.
2881. 2.    Prototyping
2882. Prototyping involves developing a quick trial system that incorporates the user's needed features and functions in a small-scale system, but that can be expanded to a full-blown system. The opportunity to integrate controls is reduced; but the user may be more satisfied. This method is not recommended for complex systems.
2883. 3.    Socio-technical
2884. The socio-technical approach involves an external agent (consultant) participating in a direct way to develop the system and to change the way the organization functions. This approach does not concentrate on controls unless conscious effort is made.
2885. C.    Differences in Internal and External Auditors
2886. Internal auditors concentrate on system effectiveness and efficiency, as well as controls. External auditors focus on controls as a guide to understanding the degree of confidence that may be placed on the controls. External auditors may or may not provide recommendations to management on the effectiveness and efficiency of systems.
2887. D.    End-user Developed Systems
2888. End-users are developing systems more frequently than ever, due to the availability of user-friendly productivity tools and programs. Controls in these systems are nearly non-existent. Yet, these systems are popular because they bypass the difficulty of getting a system developed via normal channels.
2889. IV.    GENERAL INTERNAL CONTROLS
2890. The goals of accounting and auditing can be achieved only if proper management controls are in place and general internal controls have been instituted. General internal controls are an integral part of any system, automated or manual. Automation creates problems and opportunities in each internal control.
2891. A.    Segregation of Duties
2892. Segregation of duties is a primary internal control intended to minimize fraud and embezzlement by assuring that any one person does not have access to two different control functions. In an automated system these functions may be performed without human intervention, that moves segregation of duties to a different status, namely that of separating the operation of the program from the changing of the program.
2893. B.    Proper Delegation of Authority
2894. Clearly delineated authority and responsibility is essential to good internal control. Increasing integration of data and systems blurs the line, and end-user developed systems accentuate the difficulty. Proper delegation mandates that individuals be designated the 'person in charge' in order to control the system, as well as to reconfirm that management is ultimately in charge of internal system controls.
2895. C.    Personnel
2896. Consideration for competent personnel is easily neglected when systems are complex and changing often. High mobility and an orientation to technology may reduce the allegiance of an individual to his/her organization. In addition, highly skilled individuals may wish to 'play games' with the system to see if security may be overcome. Personnel morale, training, and commitment need attention so to increase the probability of secure information systems.
2897. D.    Authorization System
2898. Management grants two kinds of authorizations: general and specific. General authorization are established policies and procedures. Specific authorizations deal with unique, or infrequent, decisions. Systems automate these authorization processes. The accountant/auditor must direct attention to the computer system's authorization routines.
2899. E.    Documentation
2900. Systems must be designed to provide an adequate audit trail. Without the audit trail, control is not present and significant serious control problems appear. Even if fraud or embezzlement attempts are not evident, individuals need not be tempted to violate the system because of an inadequacy of the system.
2901. F.    Physical Controls
2902. Physical controls issues protection of data, information, analyses, plans, overall memory, and equipment. These elements are essential to a viable organization, and a firm should attempt to disburse them geographically so to reduce loss in the case of disaster or malicious intent.
2903. G.    Supervision
2904. Direct review of personnel is made more difficult because the system permits remote access and electronic performance of many duties. The accountant/auditor must address the need for compensatory controls. A compensatory control may be to evaluate the extent to which the program code and changes are closely supervise and authorized.
2905. H.    Accountability
2906. Eventually, management is responsible for the institution and operation of controls and systems. The accountant/auditor must ensure that adequate internal controls fully support management's role of control and direction.
2907. V.    ACCESS CONTROLS
2908. Access controls are set to verify that an individual or system has the appropriate authority to gain access to the computer system and at what levels within the system the access may be granted.
2909. A.    Strengths and Weaknesses
2910. Given the increase of shared data as an organization resource, access controls are vital to the integrity of such resources. At the same time, limited access, or restricted access, may upset users who do not perceive the need for control nearly as important as the need for the information.
2911.  
2912. Key features of access controls include the process of validating identities, verifying the authenticity of the user or the system, and granting/denying authority to requested actions. The primary strengths of each phase are in the sense that access is possibly restricted, yet, each access control mechanism has inherent weaknesses. For example, easy to use passwords-many people will select a password that is easy to remember, but also easy to identify by individuals wishing to violate the system.
2913.  
2914. A system is at substantially greater risk if access control does not address who has read-only, write-only, or read-write privileges. Users should be restricted to a specified type of access.
2915.  
2916. Weaknesses in access controls emphasize the need for careful management. In many organizations, this management becomes the responsibility of the internal auditor, data administrator, or other such manager.
2917. B.    Encryption
2918. Encryption protects data from unauthorized access by use of algorithms or coding. Recovery of original data is possible only through the use of these methods. Several standard algorithms include transposition, product, or substitution of characters. Public key encryption involves coding and is used on networks.
2919. C.    Personalized Access
2920. Personalizing access to electronic funds transfers (EFT) with Personal Identification Numbers (PIN) has been the primary access control method used by financial institutions. Other organizations have begun to follow suit, as increased security is provided by combining initial access via cards, or other means, with a personalized number.
2921. 1.    Cards and PINs
2922. Access via cards, with or without PINs, created opportunities and threats for security. There are opportunities to improve security in the system because a personal card must be physically available as well as a PIN. Threats include theft of the card and PIN. The initial threat is the direct intrusion into the funds of the original owner; the second threat is a spill-over effect to individuals who begin denying transactions that were made. The spill-over effect occurs as the initial fraud is disclosed publicly.
2923. The accountant/auditor helps in the management and control of cards and PINs. Management and customers must be educated as to the importance of security. A lost or obsolete PIN can be dangerous in the hands of the wrong person, as fraudulent transactions do not take much time or effort to be initiated. Therefore, changes, replacements, and deletions of cards and PINs must always be handled in the must secure manner.
2924. 2.    Physical Identifiers
2925. Certain physical characteristics are thought to be unique to each individual. Fingerprints were the first characteristic used to identify a person. Recent progress in digitizing fingerprints has given systems security specialists an opportunity to use fingerprints as employee access controls. It is unclear whether customers would be willing to participate in such access controls, or whether it would even be practical. Other characteristics used include earlobes, voice prints, handwriting, retinas, and size and shape of hands.
2926. D.    Audit Trails
2927. Access controls must be monitored for their utilization, strengths, and weaknesses. The audit trail gives a recording of system usage and abuses of access controls.
2928. 1.    Accounting
2929. The accounting audit trail records data origin and types, and system assess activities. Items recorded include:
2930. a.    User identities
2931. b.    Validation routines used
2932. c.    Access and usage desired
2933. d.    Physical location of originating site
2934. e.    Session times and dates
2935. f.    Access methods and number of tries
2936. g.    Results of access: authorized or rejected
2937. 2.    Operations
2938. Operations audit trails identify how well controls are working, hindering access, and consuming system resources. The number of denials may indicate unauthorized attempts, or difficulty with access protocol-access controls may hinder access. Access controls can be measured and facilitate cost/benefit ratio analysis to determine system resource consumption.
2939. VI. INPUT CONTROLS
2940. The purpose of input controls is to permit entrance of only authorized and accurate data into the system. This may take at least two forms:
2941.     Initial or raw data that the system is to process, or
2942.     operating instructions for the system to perform.
2943. In either case, effective and efficient reentry requires validation and a corrective process. Increased use of shared data and system resources necessitates the strongest input controls. The accountant/auditor must be constantly attentive to minimizing possible weaknesses, and maximizing strengths of these controls.
2944. A.    Data
2945. Data is the lifeblood of the organization. Without data, no organization could survive long. Before the advent of electronic forms, input devices, and transfer mechanisms, data originated only in paper-based documents, and controls utilized a paper trail. Electronic input controls are now part and parcel of the system and are initiated automatically, and therefore must become part of the audit trail.
2946. 1.    Preparation
2947. A key element of the data entry process, regardless of the automation used, is the preparation of the data. The automation process transfers data preparation process elements to the system.
2948. a.    Conversion to Machine-Readable
2949. The primary data preparation technique converts original input to machine-readable format. Tapes, disks, cassettes, cards, and other such originating media may even need additional conversion beyond the machine readability. Please note that the key to the data conversion process is to eliminate the need for human intervention. Techniques such as bar codes and scanners are part of the trend to minimize data entry errors.
2950. b.    Prepare Totals
2951. A control total is established, via various calculations of document entries, to measure the system result. The number of invoices or documents is often used as a hash total to verify that the correct number of documents were reviewed.
2952. c.    Human Scanning as Quality Control
2953. The test of reasonableness is used as a control strategy. Experienced individuals visually scan data to detect errors that might have been missed, for a variety of reasons.
2954. d.    Verification
2955. Either the system or a machine eventually has to convey whether or not the data is acceptable. A verification statement releases the data to the system for use by any and all authorized users.
2956. 2.    Gathering
2957. The physical gathering of data must be managed. Three sources of data are:
2958. a.    Paper-Based
2959. Data that originate on paper documents require paper-based controls and a conversion process to machine-readable format. (A paperless society does not seem to be in the foreseeable future.)
2960. b.    Machine-Based
2961. The environment for machine-based data gather is improving with the development of touch screens, touch telephones, voice recognition, and so forth. Edit and validation routines enable immediate problem recognition and correction.
2962. c.    Mixture
2963. A mixture of machine-based and paper based data gathering is becoming prevalent as bar codes and scanners become a norm. Point of sale terminals enable the sales transaction to up-date local inventory records, sales histories, compensation, and reordering information. Input controls are critical to the system using instantaneous machine-capture.
2964. 3.    Review
2965. Validating and reviewing the data is an integral part of input controls. This review may be done via human and/or machine. The key is that a control must exist before entering data into the processing stream.
2966. a.    Components
2967. Components of the review process include human interaction, machine interaction, data analysis techniques, and machine scanning, such as optical character readers.
2968. b.    Design
2969. Each component must be designed with the objective of data control in clear perspective. A set of results must be determined before designing source documents. For example, the accountant/auditor must consider:
2970. 1)    what data to gather,
2971. 2)    how to gather the data,
2972. 3)    who will gather the data,
2973. 4)    when the data will be gathered, and
2974. 5)    how the data will be handled, retained, and used.
2975. Design of an invoice requires attention to input control mechanisms, even if the invoice is totally electronically generated and linked to and from vendors.
2976. 4.    Controls
2977. Control totals are the total number of forms, or items, entered. This serves as a check against the entry of all forms, or items.
2978. a.    Hash Totals
2979. Hash totals are calculated for any element in the form, or data entry cycle. For example, the stock number of every item on an invoice may be totaled, then this total used as a check total for the data gathering invoice total.
2980. b.    Financial Totals
2981. Selected financial items from any data gathering source are used to calculate financial totals. Thus, financial totals of the prices, extensions, and overall totals provide a check for accuracy of the data gathering process.
2982. c.    Document Counts
2983. Documents may be counted to validate the set of documents, thereby ensuring the completeness of data gathering. This process is often described as a physical check over the batch.
2984. B.    Validation
2985. Validation implies that the gathered data is correct and accurate from the appropriate source. The goal is to intercept the error before the system acts upon it, or the system is activated.
2986. 1.    On-line
2987. On-line validation allows immediate review as close to the origin as possible. Master files and application programs are necessary to perform the validation.
2988. 2.    Batch
2989. Batch checks are used to verify that all necessary entries have been made and are comprehensive. Examples include control totals, transaction review, sequential numbers, and size aspects.
2990. 3.    Lexical
2991. Lexical checks are used to evaluate each word, symbol, or figure entered when compared to an application-specific vocabulary.
2992. 4.    Semantic
2993. Semantic checks are used to validate that the applications produce the expected results based on limitations intended.
2994. 5.    Syntactic
2995. Syntactic check are used to validate the detail order of the program. That is, calculations should occur in a certain order. Additionally, mathematical calculations require numbers and the syntactic and semantic checks validate that such commands are justified against numbers only; otherwise, an error message occurs.
2996. 6.    Corrections
2997. Errors may be reported on the screen, or by hard copy. In either case, an established routine must be in place to rectify the situation. Efforts should be made to correct the cause of the error and not just the error itself.
2998. C.    Error Controls
2999. Errorless systems would be nice, unfortunately, errors are a fact of life in systems. Given this reality, and the pervasiveness of the problems that error can cause, management and the auditor must decide together the controls necessary to address any given error. Risk analysis and cost/benefit analysis are used to assess the extent to which controls need to be installed, the measures needed to eliminate the error, and the source of errors.
3000. 1.    Error Report
3001. Error reporting is imperative to the error control process. On-line errors should be reported immediately, and corrective action taken or the reason for not taking corrective action noted. Reporting errors is insufficient by itself; the error control process demands that corrective action be monitored. Errors may be identified through a series of checks, some of which include error handling routines.
3002. 2.    Field Checks
3003. Field checks include validating and checking data in a certain field. Variables examined include omitted data, letter/numbers, acceptable limits of range set for the field, acceptance of the check digit if used, and other such items relative to the field.
3004. 3.    Record Checks
3005. Record checks include validating and checking the relationships between fields. This includes the test of reasonableness, the consistency of positive ad negative signs, acceptable sizes, and ordering (certain fields should be accessed in a particular predefined order).
3006. 4.    Batch Checks
3007. If a physical batch of transactions is created, then a batch check can verify that the appropriate number of entries was made. For example, is a batch of accounts receivable invoices contained 121 invoices, there should be a batch check at the end of the run to validate that 121 invoices were entered.
3008. 5.    File Checks
3009. File checks are routines that validate that the proper files have been accessed and updated. Errors such as accessing or updating the wrong file, the wrong version of the file, or etc., may present serious restoration problems if not adequately addressed.
3010. VII.    COMMUNICATION CONTROLS
3011. The communication system moves data, files, and applications from one system, or subsystem, to another. Asset safety and data integrity are of primary concern.
3012. A.    Risks
3013. Data may be destroyed, temporarily misplaced, or the subject of terrorism in its broadest sense.
3014. 1.    Reliability
3015. The communications system must be monitored for its ability to accurately and reliably transmits and receives data. Inaccurate data transmission is referred to as data corruption. Data corruption most frequently originates from interference on the communications lines, though there are various other sources.
3016. 2.    Unauthorized Uses and Abuses
3017. The communications system is most vulnerable to unauthorized uses and abuses, and requires protection by proper authorization and access controls. Due to extensive systems networking and connectivity on a global basis, this issue will continue to be a major concern of management, accountants, and auditors.
3018. 3.    Errors
3019. Communications system errors may occur due to the laws of physics operating on the system in the form of heat, noise, electricity, or other physical manifestations. Management must continually review and improve the quality of transmission resources.
3020. B.    Technical Failure
3021. Components may fail. Attention must be paid to the mean time between failure (MTBF) when estimating the risk of component failure.
3022. 1.    Communications
3023. Communications lines, or media, may fail. A modem may lose, or corrupt, data. Efforts to monitor the quality of the transmission via modem, or other devices, is an ongoing challenge. A series of checks and balances can be used to detect errors, but this requires the use of substantial system resources and increases a vulnerability for other errors to be introduced.
3024. 2.    Hardware
3025. Power failures, disk crashes, and power surges are typical hardware failures. Uninterruptible power sources and redundant hardware are available devices to correct such failures.
3026. 3.    Software
3027. Failure of an operating system and application system could be a catastrophe for an organization; regular backups reduce the effects.
3028. 4.    Personnel
3029. Management and operation personnel may fail, or reduce their efforts, at keeping the communications system operational and secure. Careful investigation and monitoring of the communications personnel is an integral part of the system.
3030. C.    Terrorism and Other Overt Threats
3031. Terrorism is defined as the overt, hostile act by an external or internal intruder to the system.
3032. 1.    Aggressive
3033. Aggressive acts are behaviors that modify the data or results in the system.
3034. a.    Insertion
3035. Terrorists may add messages or data to a system to cause changes for personal benefit, or merely to challenge the system. Transactions may be inserted by anyone, once into the system.
3036. b.    Deletion
3037. Deletion is when the intruder destroys data or transactions. Deletions may be directed to the intruder's accounts or data, or they may be a more malicious and random attack to the system. In the latter case, an audit trail for altered accounts will not be of benefit.
3038. c.    Modification
3039. Terrorists may change the value of specific data. For example, the dollar amount of a payable may be altered to someone's advantage.
3040. d.    Intervention
3041. Terrorists may act as an intermediary in a system. He might deny access, or edit data or transactions. In certain instances, the sender and receiver may not be aware of the intervention.
3042. 2.    Non-intrusive
3043. Other acts, though not as intrusive as terrorism, threaten the integrity of the system and can cause serious system degradation if left unattended.
3044. a.    Note or File Sending
3045. Hackers often perceive that note and file ending is not as damaging to a system as other acts. Yet, the possibility that a 'worm' or virus might seriously damage the system is very real. One example is the recent case of a student who inserted a runaway note into the electronic mail system from a university site.
3046. b.    Monitoring Activities
3047. A less aggressive act is one of monitoring the system for activity. By identifying the sources and recipients, a competitor may identify trends that reveal elements of a business strategy or possible changes in business efforts.
3048. 3.    Controls
3049. Many controls that are general to systems controls are needed to address communications systems controls. Specific controls for communications systems include denying physical access, and disabling an effort, if the system is penetrated. Control of overt acts can be address by encryption or keying code numbers.
3050.  
3051. One control requires a response from the sender. In this environment, the purpose is to determine if the sender or receiver is authorized and valid.
3052. a.    Audit Trail
3053. This audit trail traces all messages through all nodes by identifying sources, receivers, nodes, times, dates, and in some cases, data itself.
3054. b.    Operations Audit Trail
3055. This audit trail uses operating documentation to trace data input and output instructions.
3056. VIII.    PROCESSING CONTROLS
3057.     Processing system controls include those that enhance the reliability of the CPU (central processing unit), the memory (real or virtual), the operating system, and the application programs. Each of these components have controls relative to their access, utilization, effectiveness, and efficiency.
3058. A.    CPU Controls
3059. Although the accountant/auditor has relatively little to do with the CPU, there are a number of issues that may be addressed relative to the performance monitoring aspects of the system. Performance monitoring and tuning is a term used to denote the analysis and review of the configuration and runtime of the system with the intent to optimize the access, storage, processing, and output functions. The accountant/auditor is involved mainly to avoid postponed upgrades and capital investments because of system performance tuning. Specific controls include:
3060. 1.    Instruction Set Check
3061. An instruction set check validates that the program instructions are executable. The CPU will not attempt to reuse the invalid code again and again.
3062. Another instruction set check validates that a specific instruction is permitted to be executed. This is critical if a particular instruction might affect the value limit in a specific register, and thus permit improper updates or access to data.
3063. 2.    Status Check
3064. A status check control identifies and confirms that an instruction may be implemented. Some instructions have pervasive effects, and should be performed by only specific people and processes.
3065. a.    Kernel
3066. The kernel is the most central and critical part of the operating system. Access to it must be severely limited and controlled.
3067. b.    Supervisor
3068. The supervisor state is the next most critical aspect. From this state, all instructions other than kernel instructions may be invoked. Control is vital.
3069. c.    Problem
3070. The problem state is the more usual state in which user developed and invoked programs are implemented. Only a limited set of instructions are valid in this state. Control is vital in this state in the sense that state changes must not be easily made from this state to a more critical state.
3071. B.    Memory Controls
3072. Memory controls are directed towards identifying electronic errors, controlling access to memory, and preventing access to designated memory from unauthorized programs.
3073. 1.    Physical
3074. Physical controls that monitor electronic fluctuations in memory are vital in assessing the degree of reliability of the CPU. One approach is to check a stored parity bit with the parity of the current contents of the memory location.
3075. 2.    Access
3076. Access to real memory is carefully monitored to prevent the contamination of the operating system and any programs running in memory. In addition, access to real memory must be managed to prevent idle capacity problems.
3077. 3.    Virtual
3078. Virtual memory controls validate the request for virtual memory as the allowable size and that the requested action is within the permissible actions.
3079. C.    Systems
3080. Both operating systems and application systems require extensive controls. With shared data and other computing resources, it is vital that the systems be controlled. Risk assessment of these vital systems is critical in an EDP audit.
3081. 1.    Operating
3082. Operating systems allocate the computing resources and in essence provide the initial level of security. If the operating system has been violated, the entire system is at risk. No application control may be sufficiently compensatory to offset such a violation. Auditors must become aware of the possible violations in each specific operating system of interest. These violations may be initiated by people with an in depth knowledge of the system and its vulnerability. Yet, these same people are the ones with the expertise to advise and assist the auditor in examining the controls inherent and needed.
3083. a.    Protected from Users
3084. The operating system must have a control to prevent users from intervening in the operation of the system. Access must be limited in such a way as to protect the operating system as well as data to which access is sought.
3085. b.    Insulated from its Environment
3086. The operating system should have appropriate controls to systematically shut the system down in a catastrophic situation. Each operating system section or routine should not be able to contaminate any other section or routine.
3087. c.    Users Isolated from Each Other
3088. No user may be permitted to contaminate another user's programs or data. Users cannot be permitted to contaminate their own sections or routines.
3089. d.    Examples
3090. Most examples of fraudulent intervention in the operating system involve some form of disguise. That is, the instigator attempts to trick the system, the operator, or the user into thinking that the instigator is legitimate.
3091. 2.    Application
3092. Application systems carry out user commands and programming instructions that do the actual 'computing' application. To the extent possible, application systems must have controls built in rather than added on. The accountant/auditor must have early and continuous input into the control structure of application systems.
3093. a.    Validation Reviews
3094. Validation reviews of the mathematical calculations are designed to assess the accuracy, completeness, and legitimacy. Alphanumeric or alphabetic reviews are less clear in that the processing is minimal but involves the actual replacement of data in fields.
3095. b.    Programming Reviews
3096. Programming controls are designed to assess the extent to which good programming structure has been used. Elements of programming controls include rounding routines, programming automation (minimal human involvement), mathematical routines, and avoidance of assumed values.
3097. c.    Interfaces among Programs/Routines
3098. Many programs provide input to subsequent programs. Control is critical in these interfaces as the passing of bad data can create pervasive errors. For example, a purchasing system interfaces with the inventory and accounts payable systems, and then links with the general ledger system. An error in the early part of the cycle becomes pervasive. For this reason, interface control is another critical element of the overall security policy.
3099. 3.    Audit Controls
3100. Audit trails and replication methods should enable the auditor to reprocess any transaction or process on any data. Operating or management audits are needed to monitor the access and utilization of the processes in order to assess and plan resource consumption.
3101. IX.    DATABASE CONTROLS
3102.     Databases and database systems are the basic framework for current systems in most organizations. Specialized database hardware and software is available. Database structures are available that permit the effective and efficient use of data in ways previously contemplated but never operationalized. With this kind of knowledge power, the issue of controls is critical.
3103. A.    Access to Levels
3104. Only legitimate users should be able to access data in the database. Access needs to be limited by level to ensure that access is granted on a need to know basis and that restrictions apply to the instructions that may be carried out.
3105. 1.    Name
3106. Users may be restricted to certain data names and to the privileges they may carry out.
3107. 2.    Content
3108. The content boundaries of the data may limit the user's access and privileges. For example, a personnel user may access salaries of less than $80,000; a marketing representative may access customers in a certain state; and a manufacturing representative may access product information except for invoice prices.
3109. 3.    Context
3110. Access to restricted data may be authorized or not depending on the context in which the access is sought. That is, access may be granted if the particular request is one in which the control goal is not violated.
3111. 4.    History
3112. History controls are used if a sequence of instructions might overcome the restrictions of access controls. Thus, an user might issue sequential instructions at different times that accomplish the goal. Clearly, this control is not easily to develop and institute.
3113. B.    Application Oversight
3114. The database must be protected in order to ensure the integrity of the data and the database management system. The application system is the contact with the database system for providing instructions and details regarding errors or unusual occurrences.
3115. 1.    Update Policy
3116. Update controls are oriented to validating the changes in the database so that they are consistent with the physical reality that the database represents. The primary controls are checks on the completeness of processing of the transaction file and the master file.
3117. 2.    Reporting Procedures
3118. Reporting controls are used to alert the user to possible inconsistencies. Listings or some form of control total may be used to request the user to validate that the system remains in control.
3119. C.    Concurrency
3120. Shared data and computing resources create advantages and disadvantages. One key disadvantage is the issue of multiple users seeking access and updates at the same time. If the system locks out a user or process when this is encountered, a situation known as a 'deadly embrace' may freeze the system.
3121. 1.    Replication
3122. Careful attention must be given to distributed databases as well as to multiple users accessing simultaneously. In some systems, the database is copied and one copy is designated the primary copy. Users seek access to this primary copy as the main throughput for the system. This process may cause its own set of deadly embrace problems as well as update sequencing problems. All copies must be locked before updating.
3123. 2.    Partitioning
3124. In a partitioned database access is controlled via a routine that locks the data for either read or write. The lock for the write function effectively clocks out other access and on all replications.
3125. 3.    Priorities
3126. There are many control issues in database concurrency and deadly embrace that affect all goals of the audit. Cost benefit analysis is the approach to use to evaluate the alternatives and to assess the extent of control versus management flexibility. With the increasing pervasiveness of database systems, it is imperative that the accountant/auditor participate fully in discussions that examine the planning and control of these database systems.
3127. D.    Encryption
3128. Because of the extremely important and proprietary nature of data in a database system there may be a need for encryption of the data. Special concern must be placed on data that is moved from one database to another and the degree of reliance placed on the transferred data.
3129. 1.    Transportability
3130. Data that is frequently moved may require automatic encryption to minimize the negative consequences if the data is lost or stolen. This offers little or no protection from internal theft as the encryption code would be the same for each machine or storage device.
3131. 2.    Personalized
3132. If relatively little data sharing occurs, then the individual user can personalize the encryption code.
3133. 3.    Multiple levels of Access
3134. If sharing is needed and security is critical, then a multiple level approach may be used. The multiple level approach pertains to the fact that multiple codes may be used, each at a different level. Thus, users have access to the key that is appropriate for their level.
3135. E.    Physical Security
3136. Physical protection of the database is needed in the form of restricted access to the database storage area, the actual database systems that are operational, and other key database items.
3137. 1.    Access
3138. Access to the storage and working area must be restricted to those with a need to be there. Individuals must be carefully screened before assignment there and frequent reviews of the security are necessary.
3139. 2.    File Protection
3140. As mundane as it may seem, database tapes need to be identified in order to prevent accidental erasure or write over. Special consideration must be given to the use of internal as well as external labels on the tapes.
3141. 3.    database Administrator (DBA)
3142. The DBA is in charge of the database but does not necessarily have the authority to override security. Thus, the DBA may not have the authority to execute the database; rather the DBA provides policy analysis and direction for the database. Note this careful distinction, the DBA may not have the actual power to 'run' the database but instead concentrates on the design and other policy issues.
3143. 4.    Backup
3144. The grandfather, father, and son (grandmother, mother, and daughter) approach is used to make backup copies. This does require physical storage and capacity considerations.
3145. F.    Audit Controls
3146. An audit trail must be maintained that permits the re-creation of the database at any point. Thus, there must be date and time record of each transaction, there needs to be a capture of the before and after value of the particular item affected in the database, and there must be a mechanism provided to update the audit trail itself in the event that a process was out of control temporarily and has been corrected.
3147.  
3148. From a performance standpoint there needs to be a record of the resources accessed and used in the operation of the database. By identifying the usage, the accountant/auditor or DBA may find ways of improving the productivity of the system and the organization.
3149.  
3150. Finally, the accountant/auditor and DBA work together to ensure the successful security arrangements and the successful recovery of records as needed. These are probably the most complex of all controls since the entire transaction set may have to be re-created.
3151. X.    OUTPUT CONTROLS
3152.     The output system consists of the approaches, presentation mode, and timing of the output of the system. Both data integrity and asset safety are important along with effectiveness and efficiency. In general these controls are oriented to timely production for those users granted access and restriction of the output from who are not granted access.
3153. A.    Production
3154. Production of output must be monitored to ensure the timely creation of reports or other needed form of output. At the same time not every user can get their reports as needed due to scarce resources.
3155. 1.    On-line
3156. On-line controls must be in place to prevent unauthorized users from accessing, using, or modifying the output. Some of these controls use rules to maintain the restrictions placed on selected data. For example, if someone is attempting to deduce the account balance of a particular client but only has authority to examine the averages of the client balances, then a series of queries that lead to the deduction must be prevented. These controls are not easy to install and maintain as there seems to be a way to get to the data regardless.
3157.  
3158. Another way of controlling access is to modify the result of a query with some random or specific algorithm in order that the exact nature of the data is not revealed. Of course, this does result in an accuracy decline.
3159.  
3160. On-line controls such as these vary in their capabilities to secure data, their degree of accuracy, and their cost benefit results.
3161. 2.    Off-line
3162. Off-line controls are somewhat more secure in the sense that there is a timelapse between the request for information and the resultant delivery. Attention must be made to the physical security of these off-line reports as the reports tend to accumulate in a central area leaving them vulnerable to unauthorized access.
3163.  
3164. Reports need to be designed to represent the organization and to be cost effective in their execution. Thus, cost benefit analysis must be undertaken to design reports and their distribution process including printing requests. These controls include such items as titles, degree of security, disposal routine, and page numbering.
3165.  
3166. Even the forms and other printed materials must be controlled. Pre-numbered forms are especially vulnerable to unauthorized use. Careful inventory methods must be used to ensure the security of critical forms such as invoices and checks.
3167.  
3168. If systems output is not immediately printed, it may be spooled to a form of temporary storage for later printing. This temporary storage must be protected from intrusion as files may be edited or read without authorization. Control over the spool is exercised via management controls as well as close review of the console log. As the spool or batch is printed, there should be controls in place to ensure the proper number of copies and runs have been made. Certain reports require such security that the console operator is not permitted to review the materials.
3169. 3.    Ad Hoc
3170. Ad hoc output is the more difficult output to control as not every eventuality is foreseen. Controls over ad hoc reports is needed to ensure that the on-line and off-line security controls are not circumvented by an unauthorized request via the ad hoc or irregular report request.
3171. B.    Distribution
3172. Reports are not just generated but they are in fact distributed to decision makers in the organization. All four goals are of concern in the distribution of reports: asset safety, data integrity, effectiveness, and efficiency.
3173. 1.    Physical Requirements
3174. As noted above, the essence of controls in this area is to limit access and modification of the reports. The critical issue in many instances is to educate personnel in the nature and value of the reports. Of course, the use of controls is vital, too.
3175. 2.    Control
3176. Given the earlier discussion on access, retention, and modification controls, additional controls are needed in the areas of quality control and output removal. Someone needs to edit the output for missing data and other errors without compromising the integrity of the output. Output removal routines must be established with the same goals as there have been sufficient instances of trash/garbage searching to reveal the information potential in the garbage can.
3177. C.    Presentation
3178. Information and output without presentation is similar to a tree falling in the forest with no one there to hear it. Plus, it does seem to matter in which form the output is presented; that is, the information communicated may be affected by the mode of presentation. Thus, controls over presentation are needed.
3179. 1.    Content
3180. Content controls represent the controls over which data items are included in a report. The essence of these controls is that someone has made a decision (directly or acquiescent) about the data to be included. Content controls cause managers to think directly about the data and their inclusion or exclusion. Variables to consider include the age of the data and the number of time periods over which the data are accumulated, the extent to which detailed accuracy versus reasonable accuracy is necessary, the degree of aggregation versus disaggregation, and the extent to which the data is condensed. Each of these variables may have an effect on the decision made; thus, controls to minimize bias and distortion are needed.
3181. 2.    Physical Form
3182. Physical form controls are intended to match the form with the intended results of ease of use and minimization of errors in use. The paperless society still seems some distance away; yet, the fact of matter is that society is using alternative output media other than paper but we simply are processing more data. The choice of paper, computer terminal, voice output, or other form of output such as microfilm or microfiche is essentially a cost benefit decision.
3183. 3.    Format
3184. Format controls are needed to establish standards regarding color versus monochrome and regarding tables versus graphs. Color and graphics have intuitive appeal but academic research has failed to find any consistent relationship with productivity or quality. Yet, management seems to prefer color and graphics; given their preference and resources dedicated to their delivery, it is incumbent on the accountant/auditor to monitor the investment and the results. This way, management can at least be alerted to possible resource reallocation or biased decision making because of the format.
3185. 4.    Layout
3186. Layout controls affect the placement of data or information on the screen or the report. Because the placement location is the primary determinant of response time and response time is a contributor to user satisfaction, there are excellent reasons for managing and monitoring the layout function.
3187.  
3188. Layout also affects the perception of importance and clustering of data: early items are perceived to be more important and clustered items are perceived to be similar.
3189. 5.    Time Aspects
3190. Output controls regarding time address the issue of when to print or deliver output. Because management has a preconceived notion of the correct time delay, careful attention must be paid to this preconceived notion. In some instances it may be necessary to build in some time delays just to manage the expectations of the users. In other instances it may be necessary to build in messages about the status of the task in order to appear active to the user.
3191. D.    Interpretation
3192. Output in and of itself is of no value without interpretation; yet, management may not be able or choose not to interpret the output by themselves. In either case the user is confronted with the responsibility of interpretation.
3193. 1.    Availability
3194. The availability of interpretation assistance is critical to decision makers who need it. This assistance may be in the form of help screens or in the form of a person. The issue of availability must be addressed by the accountant/auditor for two reasons. One, the need for availability needs analysis and confirmation. Two, the quality of the interpretation needs evaluation.
3195. 2.    Warning System for Further Information
3196. An integral part of the interpretation is the need for further information to be easily determined and accessed. The output should indicate the degree and nature of additional information that may be needed.
3197. XI.    EVIDENCE
3198.     Accountants/auditors and managers deal with evidence regarding situations. Thus, it is no surprise that evidence is sought in the examination of controls. Evidence is sought to confirm or disconfirm the degree to which controls are in place to help the system to achieve the four goals identified at the beginning of this module.
3199. A.    Needs
3200. The reliance of the organization on the systems in modern society lends credence to the fact that the system is the nervous system of the organization and vital to survival and success. At the same time of this importance, there are no organizations with unlimited resources; thus, cost benefit analysis must dictate the allocation of resources to the EDP audit. Systems or components with high risk need special attention. Risk matrices may be prepared in which the risks to the business are associated with various systems. Audit goals may be identified from among the following:
3201. 1.    Assess Quality of Data
3202. Accountants/auditors should evaluate the extent to which the data in the system is comprised of the expected types and quality. Should the data be of lesser quality than expected, reviews of the system, the developers, and the users should be instigated.
3203. 2.    Evaluate Processes
3204. The quality and quantity of data revealed may indicate a processing problem. Regardless of the data quality, an assessment is needed of the processes. Both generalized audit software and parallel simulation assist in this assessment. The key component of this assessment is to remember that one of the goals is to aid management in decision making; therefore, the processes should provide information that is useful and timely.
3205. 3.    Review Existence of Processes and Data
3206. In some instances it is necessary to confirm the existence of processes or data. For example, does the system provide an inventory obsolescence report, an accounts receivable aging report, or similar report? If it does, the accountant/auditor needs to sample the reports for selecting a set of items or accounts for further review and verification.
3207. 4.    Initial Review
3208. As the accountant/auditor begins the audit, careful attention must be paid to getting the facts together. In many cases this simply means getting current on the business environment and current strategies.
3209. a.    Analytical Review
3210. Analytical review is technique used to examine the financial ratios of the organization over a period of years within the organization as well as a comparison to industry ratios and trends. This review is designed to give some initial signals to areas of concern.
3211. b.    Statistical Analysis
3212. Selected statistical functions may be necessary in the completion of a particular audit. For example, if a financial institution is experiencing substantial loan losses, the accountant/auditor may need to use a discriminant analysis subroutine in the audit.
3213. c.    Spreadsheet
3214. Most audit tools are centered around the use of a spreadsheet. This provides for standardization among auditors and audit tasks as well as permits the downloading of data from the system to a workstation or PC.
3215. d.    Expert Systems or Decision Support Systems
3216. Many accountant/auditors are finding expert systems and decision support systems to be effective and efficient tools in the context of an EDP audit. Tools such as these minimize the raw number crunching or data analysis and permit the auditor to concentrate on the larger issues. An example is the use of a PC-based expert system that prompts a relatively inexperienced internal auditor through a series of questions on internal control and then prints a draft report for the internal auditor to share with the auditee.
3217. B.    Limitations
3218. As always, there are no clear and clean solutions to the audit question. What is clear is that the accountant/auditor must address these issues in a logical and cost beneficial manner. In doing this, the accountant/auditor recognizes the limitations of the environment.
3219. 1.    Often After the Fact
3220. Much of auditing takes place after the fact; thus, controls in place and functioning on a regular basis are key variables to success. The need for concurrent auditing tools and techniques is increasingly evident but their use is still somewhat experimental.
3221. 2.    Constrained to Extent of generalized audit software
3222. (GAS) Most of the processes and limitations noted above are part and parcel of generalized audit software. Yet, generalized audit software can only do so much. Unless programmed to do so, the GAS will not test for extreme values or conditions in the transaction set. No GAS can address all changes and deviations that may occur.
3223. C.    Generalized Audit Software
3224. Given the above comments on GAS, what is GAS and what can it do? GAS is software written in a sufficiently high programming language that accountants/auditors may use it in numerous hardware and software environments. Basic functions include access to files, sorting routines, arithmetic and statistical routines, classification mechanisms, and reporting capabilities. More specialized functions include:
3225. 1.    Parallel Simulation
3226. Parallel simulation involves the writing of a program to emulate the application itself. Then the live data are processed and the results checked. Careful attention must be given to discrepancies as they may indicate an error in the parallel simulation program or in the application program.
3227. 2.    Integrated Test Facility
3228. The integrated test facility actually embeds a test deck of data into the processing system. As one might expect there is a necessity to identify the transactions from the integrated test facility. After all, these fictitious transactions are being run through the system; purging of these transactions is necessary before final reports are provided from the system. This approach does permit the testing of all extremes of transactions and control processes.
3229. 3.    File and Record Extraction
3230. Some GAS have extremely specialized file and record extraction routines that are sufficiently complex to permit the auditor to sort, combine, and analyze the files and records in any desired manner.
3231. D.    Specialized Audit Software
3232. Specialized audit software is available to address most audit environments. As usual, the auditor is confronted with a cost benefit dilemma regarding their use.
3233. 1.    Industry Specific
3234. Industry specific audit software is available that is configured to address the top two or three application programs used in an industry. Thus, the accountant/auditor may make high level requests of the GAS and their execution is immediate. This minimizes the effort of the auditor in developing requests for a non-industry specific audit software.
3235. 2.    Configuration Specific
3236. Even more specific is audit software that is intended for use with a particular hardware and software configuration. This approach allows the auditor to make extensive use of the capabilities of the system and of the audit software that are somewhat integrated.
3237. 3.    Potential to be More Efficient
3238. The auditor has a substantial opportunity to be increasingly efficient in using specialized audit software. Attention must be paid to the tradeoff between the cost of the specialized software and its inherent capabilities to address the audit questions.
3239. 4.    Less Flexible Than GAS
3240. Given these advantages of specialized audit software, the primary disadvantage is the decline in flexibility.
3241. E.    Concurrent Techniques
3242. Concurrent auditing techniques address the problem of the after the fact audit by inserting audit programs into the applications program to either collect data or to test controls with fictitious data. Continuous review of complex systems may be a cost effective way of monitoring the system and its controls.
3243. 1.    Concurrent Integrated Test Facility
3244. The concurrent integrated test facility is oriented to continuous monitoring of the system and requires extensive controls of the ITF to prevent contamination of the live system. By inserting dummy but controlled transactions into the system, an auditor may validate the controls and processing of the system on a timely basis.
3245. 2.    Simulations
3246. Parallel simulations run in the application systems and the simulations to be discussed here can run in the database system. By modifying the database system, a more efficient environment is created for on-line audit controls.
3247. a.    Continuous
3248. The continuous aspect of this concurrent technique is that the simulation is active at all times. This activity is oriented to examining each transaction and determining if it meets the criteria for further examination or is ready for processing. Exception reports are the primary communications from such a simulation.
3249. b.    Intermittent
3250. The intermittent aspect of this concurrent technique is that the auditor can change a parameter in the simulation to invoke additional checks of controls and of transactions.
3251. 3.    System Control Audit Review File (SCARF)
3252. SCARF is a concurrent technique with data capture capabilities. The auditor can select the points at which data will be selected for the SCARF. Typical data collected include errors in the application system, errors in the application of the requirements of management policies and procedures, exception reporting, statistical sampling routines as needed, and operational performance data. SCARF tends to be a concurrent technique with elements of after the fact review by auditors.
3253. F.    Human Techniques
3254. Evidence is collected to the extent possible by automated systems but human techniques remain an important component of the overall evidence collection process. After all, systems work is still composed of humans and machines.
3255. 1.    Interviews
3256. Interviews are usually one on one communications with interested parties to a certain event. The intention is not to stress the interviewee but to obtain information in a cooperative manner; interrogatories are best left to those most skilled in handling adversarial communications.
3257. a.    Preparation
3258. Successful interviews begin with proper preparation. Background research on the topic at hand is critical in order to avoid wasting the interviewee's time. Outline the interview topics in order to avoid unnecessary stress during the interview and to cover the topics needed in the time allotted.
3259. b.    Observation
3260. Careful observation during the interview permits the interviewer to identify potential follow-on questions. Basic professionalism should apply in the sense that the interview results do form a portion of the total evidence collected regarding a system. Some interviews are being tape recorded or videotape recorded but these techniques tend to formalize the responses; if necessary, these techniques should be used in carefully selected situations.
3261. c.    Evaluation
3262. The interviewer should immediately prepare notes of the interview. If additional information is needed, this is the time to get it. Are there disconfirming or confirming items relative to the control objectives for which the evidence was sought. If necessary, the auditor may initiate additional evidence collection procedures in new areas previously not investigated.
3263. 2.    Questionnaires
3264. Since there is insufficient time to do everything, the auditor can use questionnaires for additional evidence gathering about controls and systems effectiveness and efficiency. Questionnaires are similar to interviews in that planning is critical.
3265. a.    Determine Objectives
3266. A questionnaire cannot address everything so the auditor must determine the objectives and focus the questions on the objectives. The objectives give direction to the respondent base and thus ensure that the right personnel are given the questionnaire. The objectives also determine the type of responses requested: facts, opinion, response scales, and other details.
3267. b.    Plan Questions
3268. Questions should be planned that when answered give the evidence that was desired. Questions should be direct and specific in order to minimize any 'read in to them' problem. Use questions that stand the challenge of time in the sense that someone looking at the questionnaire in the future could identify the issues and see the essence of the questionnaire.
3269. c.    Test
3270. Before administering the questionnaire, test it on a small sample of other auditors and potential respondents. This provides an opportunity to refine the questionnaires before any mass distribution has been done.
3271. d.    Deliver
3272. Manage the distribution of the questionnaire with oversight to the expected return date and expected response rates. Decide on a follow-up procedure and develop protocols that maximize the response rate with minimal intervention on the part of the auditor.
3273. e.    Analyze
3274. Finally, analyze the data and determine if the questionnaire results support the objectives sought. Develop notes and refinements to future questionnaires. If appropriate, some statistical analysis may be necessary; careful attention needs to be paid to the correct theoretical development if this analysis is pursued.
3275. 3.    Observation
3276. The auditor may participate as an observer in two ways: participant or observer. In so doing, the auditor is attempting to collect evidence in the most direct manner on the way the system operates as well as in the people operate with the system and its controls.
3277. a.    Work As Participant
3278. The auditor as an active participant must be careful to pull a fair share so as to avoid any disruptions in system operations. The advantage to this approach is that the auditor has an opportunity to work with the system on a 'live' basis.
3279. b.    Unobtrusive
3280. The alternative observation mode is to be an unobtrusive observer. The difficulty with this approach is that the auditor may see or notice all the nuances that actually take place or the personnel will behave as if they are being observed as opposed to working normally.
3281. G.    Flowcharts
3282. Flowcharts provide a schematic of the system and its control features. Patterns may be recognized that indicate a strength or weakness. Flowcharts may be used during the development phase to identify and suggest control points.
3283. 1.    Document
3284. The document flowchart is used to identify the documents, their decision points, and their distribution. By eliminating all comments except for the associated controls a document control flowchart may be generated.
3285. 2.    Data Flow
3286. Data flow diagrams show the flow of data through the system. By eliminating all comments except for the associated controls a data flow control flowchart may be generated. This aids the auditor in understanding how data integrity is maintained.
3287. 3.    Systems
3288. Systems flowcharts show the flow at the physical level among the typical components of the system such as communications, processors, storage, etc. A systems control flowchart aids the auditor in understanding the risk of contaminated data in the entire system.
3289. 4.    Programs
3290. Program flowcharts provide insights into the details of a program. Auditors can identify control points that may or may not lead to control weaknesses that are inherent to the program.
3291. H.    Machine Techniques
3292. System efficiency evidence may be collected by monitors that are linked or embedded into the hardware and software of the system. Successful review of the evidence may permit increased efficiencies to the extent that an upgrade or an expansion may be delayed (This is analogous to an increase in capacity.).
3293. 1.    Hardware Monitors
3294. Hardware monitors are included in the hardware or attached to the hardware to monitor electrical impulses. These monitors are easily attached but need careful analysis to the exact point of attachment to avoid damage to the system. They do not track software performance.
3295. a.    Tracks Activity
3296. By measuring the electrical impulses in the system, the monitor may track any such activity in the system.
3297. b.    Analyzes Activity
3298. The hardware monitor may be programmed to provide an analysis of the hardware performance. The auditor may then make recommendations to improve overall hardware performance.
3299. 2.    Software Monitors
3300. Software monitors are subroutines built into the system to gather data on the system performance. They may be inserted into either the operating or the application systems.
3301. a.    Internal to System
3302. By being internal to the system, the software monitor collects data at a detailed level relative to the hardware monitor. Typical data collected include: number of accesses, time used, sequence of events, etc.
3303. b.    Particular Transaction versus Sampling
3304. Software monitors use particular transactions as the trigger point for data collection or they use a sampling strategy developed to meet the evidence collection goal.
3305. c.    Analyzes Activity
3306. Software monitors have analytical capabilities similar to hardware monitors. The auditor is interested in identifying significant deviations from what is expected and determining if the needed controls are worthwhile.
3307. XII.    INTEGRATION
3308.     The auditor must bring all the issues discussed above together and give an 'opinion' or report to management on the status of the EDP function. Careful attention to the multiple and sometimes conflicting goals must be paid by the auditor or the audit may be successful but the 'patient' or the system died.
3309. A.    Asset Safety
3310. Asset safety may be measured by the expected value of the loss if the asset is stolen, altered, or misused. Offset against this potential loss is the cost of the controls necessary to manage the probability of loss.
3311. 1.    Measurement
3312. Measuring these potential losses and controls is no easy task. The auditor uses probabilistic analysis to assess these items. Quantitative analysis is inadequate by itself.
3313. a.    Qualitative
3314. Qualitative data must be evaluated to get a total picture of the control situation. In the final analysis, the auditor combines all the evidence and makes a final judgment on the issue at hand.
3315. 1)    Questionnaires
3316. Questionnaires may be used as described above; in addition, the auditor may use a questionnaire to establish the record that all relevant questions were asked.
3317. 2)    Risk Matrix
3318. Risk matrices may be used to indicate the degree of risk to the organization or to a particular system if a control is absent or not working properly. These qualitative data are combined in a quantitative fashion to derive a risk factor. The risk factors are evaluated to determine if the extent of vulnerability of the particular control or system. Resources are then allocated to the most vulnerable items.
3319. b.    Quantitative
3320. Quantitative techniques are used to convert the qualitative assumptions into a meaningful number for decision making.
3321. 1)    Expected Dollar Loss versus Cost of Controls
3322. The primary calculation made is to compare the expected loss with the cost of controls. As both these numbers involve assumptions it is usually prudent to conduct a sensitivity analysis.
3323. 2)    Expected Time Loss
3324. The expected dollar loss may be supplemented by information about the expected time loss to be incurred if the assets are not safeguarded.
3325. 2.    Cost-Benefit
3326. Cost benefit has been mentioned many times in this module. Given a perfect world, there would be no need for controls or there would be sufficient resources to institute all controls necessary to secure the data and systems. This is not to be, so auditors and management must work together to build and use the control system. In conducting a cost benefit analysis, the auditor must examine two kinds of benefits: cost displacement and value-added. Cost displacement pertains to the costs removed or reduced by implementing the system or the control. Value-added benefits are those benefits that are not as easily identified as cost displacement but are important to the strategic success of the organization.
3327. B.    Data Integrity
3328. The auditor assesses the extent to which the system has protection of and for the data.
3329. 1.    Measurement
3330. The auditor must measure the integrity of the system regarding data.
3331. a.    Qualitative
3332. Questionnaires and judgment are used to derive the qualitative measure. Interviews are conducted to provide additional information.
3333. b.    Quantitative
3334. Most quantitative techniques mentioned earlier apply here. The key thing to remember is that the quantitative results are directly derived from their assumptions.
3335. 2.    Cost-Benefit
3336. As noted earlier, cost benefit analysis is the key to establishing and instituting controls
3337. C.    System Effectiveness
3338. Systems do not run forever; in fact, they tend to degrade. Thus, an evaluation of the system effectiveness is needed. Did the system meet its stated objectives? Are there improvements that are necessary? What have we learned that we can use in future systems?
3339. 1.    Objectives
3340. Organizations have myriad objectives and goals. The auditor must recognize this multiplicity of goals in assessing system effectiveness. Overall system effectiveness has at least the following elements: economic, task, technical, operational, and quality of life.
3341. a.    Goals of Firm
3342. The goals of the firm include but are not limited to short-term profitability, long-term profitability, market share, growth, human resource measures of success, or societal and managerial goals. The auditor must recognize which goal or goals are being used to assess the degree of system effectiveness.
3343. b.    Usage
3344. Systems effectiveness has used usage as a surrogate for systems success. Unfortunately, unless the results are carefully evaluated the auditor may be misled by using this measure alone.
3345. c.    Types of Usage
3346. Because the system may be used in a variety of ways, attention must be paid to the ways the system is used or caused to be used. Certain systems must be used while other systems have a more voluntarily nature.
3347. d.    User Satisfaction
3348. User satisfaction may be an important measure of the system effectiveness. Yet, no universally available questionnaire is found; each firm must build or modify a questionnaire to meet their purposes. This does not diminish the importance of assessing user satisfaction as a component of system effectiveness.
3349. e.    Technical
3350. The auditor assesses the degree to which the information architecture, hardware, and software meet the needs of the system in supporting the goals of the organization.
3351. 1)    Hardware
3352. Hardware effectiveness uses the evidence collected by hardware monitors and other forms of evidence if needed. Selected overall measures may be used; for example, what was the average response time, was the system down or up when users needed it?
3353. 2)    Software
3354. Software effectiveness uses the evidence collected by software monitors plus the information gleaned by examining maintenance logs, program change request documents, and runtime and storage usage.
3355. 3)    Degree of Independence of Components of System
3356. Because of the need to meet future uses and goals, hardware, software, and data need to be independent. This creates a tradeoff situation as integrated systems may not possess the independence appropriate to the control needs.
3357. 2.    Judgment
3358. Because of the complexity of situations and the need for decisions, the auditor must make a decision about system effectiveness. Consideration must be given to all information gathered and then a decision rendered.
3359. 3.    Overall Evaluation
3360. Based on the above judgment about system effectiveness the auditor provides an overall evaluation to management. A variety of techniques may be used to assist the auditor. These techniques include checklists, decision support systems, expert systems, and sharing insights with other auditors or information systems professionals.
3361. D.    System Efficiency
3362. As system components became increasingly inexpensive management tended to permit continued investments without evaluating system efficiency. The current environment calls for cost control and efficiency measures before increases in systems budgets.
3363. 1.    Objectives
3364. Objectives for the system efficiency review should include whether the objective is general or specific plus note any assumptions. The system efficiency review may include more than just system usage. Some items include relative ease of use, trend lines in productivity, and other such performance measures.
3365. 2.    Indicators
3366. Efficiency indicators are quantitative expressions of input/output measures. These indicators give a standard by which previous performance, expected performance, and alternative performance may be evaluated.
3367. a.    Workload Monitors
3368. A variety of workload monitors or modules are available. The concept is that the auditor can select the approach consistent with the goal of the audit or review. In some instances these modules become test bed checks to evaluate system performance.
3369. b.    Systems Checks
3370. The system itself may need to be checked for efficiencies. One way is as above where modules are used. Another way is to build mathematical or analytical models and evaluate their theoretical efficiency with comparisons to the actual systems.
3371. 3.    Overall Evaluation
3372. Given the evidence collected the auditor must make a recommendation regarding the overall system efficiency. Judgment is called for as in the above discussion.
3373. E.    Summary
3374. Finally, the auditor comes to the end of the line and a recommendation is necessary. This recommendation may be in reference to the entire system or a component.
3375. 1.    Qualitative
3376. The auditor evaluates the qualitative evidence as an integral part of the audit process.
3377. a.    Collect All Items
3378. The auditor collects all items and not just easily obtained or understood items. This means that the qualitative evidence collection process is critical to providing an audit trail of the logic used.
3379. b.    Think
3380. The auditor then thinks about the implications of the qualitative data about the goals of the assignment.
3381. 2.    Quantitative
3382. The auditor evaluates the quantitative evidence as an integral part of the process given the goals of the audit.
3383. a.    Financial or Business Terms
3384. In many instances the quantitative and qualitative evidence will require translation into financial and business terms beyond the initial quantitative terms used for evidence collection. This mandates the auditor to be cognizant of the business relationship to the system and allows management tot exercise management control over the system.
3385. b.    Sensitivity to Assumptions
3386. The auditor must assess the degree to which the system is sensitive to assumptions. This permits an informed judgment regarding the nature and implications of the quantitative evidence.
3387. 3.    Judgment
3388. Auditors make judgments; regardless of the particular situation, an auditor must make a judgment and justify it on the evidence and experiences in similar situations. Given the uncertain and qualitative nature of systems evaluations, it is no surprise that auditors want as much assistance as possible from others as well as from expert systems or other tools.
3389. a.    Group Decision Making
3390. Auditors may prepare briefs for presentation to other auditors and managers in order share their preliminary judgments and to gain insights from others. Special attention must be given to the issue of group consensus since it is not universally true that a group consensus is necessarily correct.
3391. b.    Experience Transfer
3392. Based on all the above the auditor must endeavor to integrate all evidence and processes into a cogent and rigorous analysis on which to make a recommendation to management. Then the auditor must transfer the experience in one audit to subsequent audits through documentation and/or through the development of expert systems. In addition, the auditor should prepare documentation suitable for assisting future auditors in performing EDP audits.
3393.  
3394. TEACHING CONSIDERATIONS
3395. Suggested Schedule
3396. The following sample module plan is based on the offering of twelve to fifteen hours of lectures with outside laboratory and homework time. Any of the following may be selected to supplement the course materials.
3397. I.    GOALS    1 hour
3398. II.    ROLES.    1 hour
3399. III.    SYSTEMS CYCLE    1 hour
3400. IV.    GENERAL INTERNAL CONTROLS    2 hours
3401. V.    ACCESS CONTROLS    1 hour
3402. VI.    INPUT CONTROLS    2 hours
3403. VII.    COMMUNICATION CONTROLS    1 hour
3404. VIII.    PROCESSING CONTROLS    1 hour
3405. IX.    DATABASE CONTROLS    2 hours
3406. X.    OUTPUT CONTROLS    1 hour
3407. XI.    EVIDENCE    3 hours
3408. XII.    INTEGRATION    2 hours
3409.  
3410. Homework and Lab Exercises:
3411. The following are suggested examples of possible exercises that enhance the lecture material for this module.
3412. 1.    Class/Paper exercises:
3413. a.    Assess the roles played by managers and auditors in a specific organization. Compare notes from one organization to another. Why do they differ or why are they similar?
3414. b.    How are input controls used in the organization with which you are most familiar?
3415. c.    Conduct a research project on the amounts and types of computer abuse present in a particular industry. How do industries vary in their risk profiles?
3416. d.    Provide examples of how an auditor might integrate quantitative and qualitative evidence in order to form an opinion.
3417. 2.    Lab exercise
3418. Develop a conceptual plan for demonstrating strong and weak controls. Provide a plan for prototyping such a project for subsequent students.
3419. BIBLIOGRAPHY
3420. 1.    Canadian Institute of Chartered Accountants, Computer Audit
3421. 2.    Guidelines (Toronto, Canada: Canadian Institute of Chartered Accountants, 1975).
3422. 3.    Canadian Institute of Chartered Accountants, Computer Control Guidelines (Toronto, Canada: Canadian Institute of Charted Accountants, 1970).
3423. 4.    Chambers, Andrew D., Computer Auditing (London: Pitman Books Ltd., 1981).
3424. 5.    Clowes, Kenneth W., EDP Auditing (Toronto: Holt, Rinehart and Winston of Canda, Limited, 1988).
3425. 6.    Cornick, Delroy L., Auditing in the Electronic Environment: Theory, Practice and Literature (Mt. Airy, Maryland: Lamond Publications, Inc., 1981).
3426. 7.    Davis, Keagle W., and Perry, William E., Auditing Computer Applications: A Basic Systematic Approach (New York: John Wiley & Sons, 1982).
3427. 8.    Davis, Gordon B., Adams, Donald L., and Schaller, Carol A., Auditing & EDP 2nd ed. (New York, American Institute of Certified Public Accountants, 1983).
3428. 9.    Edwards, John D., Accounting and Management Controls for Computer Systems (Sydney: CCH Australia Ltd., 1980).
3429. 10.    FitzGerald, Jerry, Internal Controls for Computerized Systems (San Leandro, California: E.M. Underwood, 1978).
3430. 11.    Halper, Stanley D., Davis, Glenn C., O'Neil-Dunne, P. Jarlath, and Pfau, Pamela R., Handbook of EDP Auditing (Boston, Massachusetts: Warren, Gorham, & Lamont, Inc., 1985).
3431. 12.    Hsiao, David K., Kerr, Douglas S., and Madnick, Stuart E., Computer Security (New York: Academic Press, 1979).
3432. 13.    Jancura, Elise G., and Boos, Robert V., Establishing Controls and Auditing the Computerized Accounting System (New York: Van Nostrand Reinhold Co., 1981).
3433. 14.    Krauss, Leonard I., and MacGahan, Aileen, Computer Fraud and Countermeasures (Englewood Cliffs, New Jersey: Prentice-Hall, Inc., 1979).
3434. 15.    Leiss, Ernst L., Principles of Data Security (New York: Plenum Press, 1982).
3435. 16.    Parkinson, M. J. A., and Paul, R. G., PC Taming: The Audit and Control of Microcomputers (Canberra: Institute of Internal Auditors and EDP Auditors Association, 1987).
3436. 17.    Porter, W. Thomas, and Perry, William E., EDP Controls and Auditing, 5th ed. (Boston: Kent Publishing Company, 1987).
3437. 18.    Sardinas, Joseph L., Burch, John G., and Asebrook, Richard, EDP Auditing: A Primer (New York: John Wiley & Sons, Inc., 1981).
3438. 19.    Stanford Research Institute, Systems Auditability and Control: Control Practices (Altamonte Springs, Florida: Institute of Internal Auditors, 1977).
3439. 20.    Fernandez, Eduardo B., Summers, Rita C., and Wood, Christopher, Database Security and Integrity (Reading, Massachusetts: Addison-Wesley Publishing Company, 1981).
3440. 21.    Vasarhelyi, Miklos A., and Lin, Thomas W., Advanced Auditing: Fundamentals of EDP and Statistical Audit Technology (Reading, Massachusetts: Addison-Wesley Publishing Company, 1988).
3441.  
3442. Articles and Other Materials
3443. 1.    Abdel-khalik, A., D. Snowball and J. H. Wragge (ASW), "The Effects of Certain Internal Audit Variables on the Planning of External Audit Programs," Accounting Review, April 1983, pp. 215-227.
3444. 2.    Ball, L. D. and M. L. Fetters, "Accounting Disclosures Requirements Impact Software," Infosystems, 1/83, pp. S/30-S/32.
3445. 3.    Cash, Bailey and Whinston (CBW), "A Survey of Techniques for Auditing EDP-Based Accounting Information Systems," Accounting Review, Oct. 1977, pp. 813-832.
3446. 4.    Connor, J. E. "Control System Priorities for the '80s," Management Accounting, March 1983, pp. 48-51.
3447. 5.    Davis, G. B. and R. Weber, Auditing Advanced EDP Systems: A Survey of Practice and Development of a Theory, MISCR, Limperg Institute, 1983, pp. 45-73.
3448. 6.    Dean, M. "How a Computer Should Talk to People," IBM Systems Journal, Vol. 21, No. 4, 1982, pp. 424-453.
3449. 7.    Deloitte, Haskins & Sells (DH&S), "SEC's Spencer Discusses Impact of Computers on Disclosure Rules," The Week in Review, 12/17/82, pp. 2-3.
3450. 8.    Ferrey, J. B. "Auditing the Operating System," EDPACS, April 1983, pp. 1-8.
3451. 9.    Hansen, J. V. and W. F. Messier, Jr. "Expert Systems for Decision Support in EDP Auditing," International Journal of Computer and Information Science, 1982, pp. 357-379.
3452. 10.    IFA IAPC, "Auditing in an EDP Environment," Exposure Draft 15, 10/1/82.
3453. 11.    OCIS, SCRIPT User's Guide, MUSIC Tutorial and MUSIC Primer.
3454. 12.    Orsey, R. R. "Methodologies for Determining Information Flow," The Economics of Information Processing, Vol. 1, Wiley, 1982, pp. 57-70.
3455. 13.    Peachtree, Peachtree Accounting Series, excerpt.
3456. 14.    Perry, W. E. "Using SMF as an Audit Tool-Accounting Information," EDPACS, Jan. 1975, pp. 1-9.
3457. 15.    Perry. W. E. and D. L. Adams, "SMF-An Untapped Audit Resource," EDPACS, Sept. 1974, pp. 1-8.
3458. 16.    PMM, System 2170 Guide (From Accounting (820)).
3459. 17.    PMM, "T&H Wholesale Grain & Supply, Inc. Case" materials (from Accounting 820).
3460. 18.    Reneua, J. H. "Auditing in a Data Base Environment," J. Accountancy, Dec. 1977, pp. 59-65.
3461. 19.    Rothberg, G. B., Structured EDP Auditing Lifetime Learning Pub., Belmont, CA, 1983, pp. xv, 2-15.
3462. 20.    Singer, M. "The Vitality of Mythical Numbers," The Public Interest, 1971.
3463. 21.    Timnick, L. "Electronic Bullies," EDPACS, Jan. 1983.
3464. 22.    Tversky, A. and D. Kahneman (T&K), "Judgement Under Uncertainty: Heuristics and Biases," Science, 1974, pp. 1124-1131.
3465. 23.    Weber, R. "Audit Trail System Support in Advanced Computer-Based Accounting Systems," Accounting Review, April 1982, pp. 311-325.
3466. 24.    Will, H. J. "Auditing in Systems Perspective," Accounting Review, Oct. 1974, pp. 690-706.
3467. 25.    Yoder, S. and Knight, S. "Eight General Ledgers for Small Business," PC Magazine, Feb. 1983, pp. 136-164.
3468.  
3469.  
3470.  
3471.  
3472.  
3473.  
3474.  
3475. Using The Modules To Create Your Own Information Security Course
3476.  
3477.  
3478.  
3479.  
3480.  
3481.  
3482. Revised Sunday, August 19, 1990
3483.  
3484.  
3485.  
3486.  
3487.  
3488.  
3489. Corey D. Schou
3490. Center for Decision Support
3491. College of Business
3492. Idaho State University
3493.  
3494.  
3495.  
3496.  
3497.  
3498.  
3499.  
3500.  
3501.  
3502.  
3503.  
3504.  
3505.  
3506.  
3507.  
3508. Description:
3509. This section shows the instructor how to use these materials to create a custom course based on the contents of the Information Security Modules. This principle can be used for both University and industrial courses
3510.  
3511. Creating Information Security Courses 
3512. Since Information Security is a developing discipline in the academic community, there are few academicians who have experience teaching courses in the area. As stated earlier, these modules have been designed to supplement other courses in the curriculum; an additional use of these modules is to guide the instructor in the creation of a custom course at the undergraduate level.
3513. By using the components of the modules separately, the instructor can tailor the course to his particular expertise. Among the authors of these modules there are individuals with backgrounds in Computer Science, Information Science, Mathematics, Management, Accounting, and even International Law. Each of us teach our Information Security Courses with an individual focus.
3514. There is a total of up to 87 hours of instructional material contained in these modules. The breakdown is:
3515. Introduction to Information Protection    5 hours
3516. PC/Workstation Security    4.5 hours
3517. Security Fundamentals    12 hours
3518. Laws and Legislation    9 hours
3519. System Security    15 hours
3520. Communications Security    7 hours
3521. Corporate Security Management    17 hours
3522. Introduction to Accounting Controls and EDP Auditing    18 hours
3523.  
3524. Since the materials were designed with redundancy, many of the components of the modules overlap. Frequently, the overlap represents a level of detail rather than a difference in content.
3525. For example, an Information Security course for accounting students might be composed of:
3526. Module and Content Time
3527. Part I of Module One
3528. Information as a corporate resource    2 hour
3529. Part 1 of Module Two
3530. Ethics    1 hour
3531. Part 2 of Module Three
3532. Organizational Policies and Procedures    1 hour
3533. Part 10 of Module Three
3534. Costs and Benefits    1 hour
3535. Part 2 of Module Four
3536. Laws as tools for computer security    3 hours
3537. Part 3 of Module Four
3538. Laws as legal options for control    4 hours
3539. Part 6 of Module Five
3540. Protection Planning    5 hours
3541. Part 2 of Module Six
3542. Threats    2 hours
3543. Part 8 of Module Seven
3544. Computer Security Checklist    5 hours
3545. Module Eight
3546. All of module Eight    18 hours
3547. This represents as much as 42 hours of classroom instructional time. This forms the core of material for the course. It is expected that the faculty will introduce other material that is specific to his area of expertise.
3548.  
3549. A second suggested outline might be a focus on legal issues
3550. Module and Content Time
3551. Part I of Module One
3552. Information as a corporate resource    2 hour
3553. Part 1 of Module Two
3554. Ethics    1 hour
3555. Part 2 of Module Three
3556. Organizational Policies and Procedures    1 hour
3557. Part 4 of Module Three
3558. Personnel Security    1 hour
3559. Part 1 of Module Four
3560. The Underlying Problem    3 hours
3561. Part 2 of Module Four
3562. Laws as tools for computer security    3 hours
3563. Part 3 of Module Four
3564. Laws as legal options for control    4 hours
3565. Part 6 of Module Five
3566. Protection Planning    5 hours
3567. Part 2 of Module Five
3568. Security Requirements    3 hours
3569. Part 5 of Module Five
3570. Data Life Cycle    2 hours
3571. Part 8 of Module Seven
3572. Computer Security Checklist    5 hours
3573. Part 2 of Module Eight
3574. Roles    1 hour
3575. Part 4 of Module Eight
3576. General Internal Controls    2 hours
3577. Part 11 of Module Eight
3578. Evidence    3 hours
3579. This represents approximately 36 hours of classroom instructional time. This forms the core of material for the course. It is expected that the faculty will introduce other material that is specific to his area of expertise.
3580. If you have suggestion for improvement or chose to use this technique, please send your suggestions or a copy of your course syllabus to;
3581. Corey D. Schou
3582. Chairman, Computer Information Systems
3583. P.O. Box 4043
3584. Pocatello, Idaho
3585. 83204
3586.  
3587. Each summer, we will compile these teaching materials, and distribute them to interested parties.
3588.  
3589. Topic Outline
3590. Introduction to Information Protection
3591.  
3592. I. Information As A Corporate Resource    2 Hour
3593. A. Security As Part Of The Total Organization
3594. B. Understanding The Organization
3595. C. Identifying Sensitive Data
3596. D. Controlled Sharing Of Information And Resources
3597. II. Basic Security Problems    1 Hour
3598. A. Natural Disasters
3599. B. Accidental Problems
3600. C. Malicious Threats
3601. III. Ethical Issues    1 Hour
3602. A. Ethics And Responsible Decision-Making
3603. B Confidentiality & Privacy
3604. C. Piracy
3605. D. Fraud & Misuse
3606. E. Liability
3607. F. Patent And Copyright Law
3608. G. Trade Secrets
3609. H. Sabotage
3610. IV. Major Areas Of Information Systems Study    1 Hour
3611. A. PC/Workstation Security
3612. B. Security Fundamentals
3613. C. Information Security Laws And Legislation
3614. D. System Security
3615. E. Communications Security
3616. F. Corporate Security Management
3617.  
3618. Topic Outline
3619. PC/Workstation Security
3620.  
3621. I. Ethical Use Of The Computer    1 Hour
3622. II. Computer Room Environment    1 Hour
3623. A. Temperature
3624. B. Foreign Materials
3625. C. Radio Frequency Interference (RFI)
3626. D. Power Surges And Brownouts
3627. III. Physical Security    1 Hour
3628. A. Location And Construction
3629. B. Computer Room Access
3630. C. Physical Control
3631. IV. Data Security    1 Hour
3632. A. Software Control
3633. B. Backup Procedures
3634. C. Recovery Techniques
3635. D. Data Encryption And Access Control
3636. V. Security Training    0.5 Hour
3637.  
3638. Topic Outline Security Fundamentals
3639. I. Planning    2 Hours
3640. A. Security As Part Of The Total Organization
3641. B. Understanding The Organization
3642. C. Identifying Sensitive Data
3643. D. Controlled Sharing Of Information And Resources
3644. E. Specific Needs
3645. F. Analysis And Design
3646. II. Organizational Policies And Procedures    1 Hour
3647. A. Scope Of Security Mechanisms
3648. B. Basic Goals
3649. 1. Prevention
3650. 2. Deterrence
3651. 3. Containment
3652. 4. Detection
3653. 5. Recovery
3654. C. Written Management Policies & Procedures
3655. III. Ethics And Professionalism    2 Hour
3656. A. Ethics
3657. 1. Ethics And Responsible Decision-Making
3658. 2. Confidentiality & Privacy
3659. 3. Piracy
3660. 4. Fraud & Misuse
3661. 5. Liability
3662. 6. Patent And Copyright Law
3663. 7. Trade Secrets
3664. 8. Sabotage
3665. B. Laws And Legislation
3666. C. Professionalism
3667. 1. The Computer Security Institute
3668. 2. Computer Professionals For Social Responsibility
3669. 3. Data Processing Management Association
3670. 4. Security Management Magazine
3671. 5. Licensing And Certification
3672. A. Institute For Certification Of Computer Professionals
3673. B. IISSCC (ISC2)
3674. IV. Personnel Security    1 Hour
3675. A. Hiring Practices
3676. B. Training
3677. C. Access Rights And Privileges
3678. D. Rules For Granting And Revoking Privileges
3679. E. Separation Of Privileges And Roles
3680. F. Adverse Actions
3681. G. Termination Practices
3682. V. Physical Security    1 Hour
3683. A. Location
3684. 1. Access Versus Security
3685. 2. Rooms, Doors, Windows, Keys
3686. B. Environment
3687. 1 Radio Frequency Interference [RFI]
3688. 2 Cooling
3689. 3 Cabling
3690. 4. Power
3691. VI. System Security    1 Hour
3692. A. PC & Workstations
3693. B. Database
3694. C. Networks And Communications
3695. D. Operating Systems
3696. E. Application Software
3697. F. Systems Security
3698. G. Systems Architecture
3699. H. Audit And Control
3700. I. Corporate Security Management
3701. VII. Threats And Vulnerability    1 Hour
3702. A. Natural Disasters
3703. 1. Fire
3704. 2. Flood
3705. 3. Brown-Outs
3706. 4. Lightning
3707. B. Accidental Acts (Threats)
3708. 1. Disclosure Of Data
3709. 2. Modification/Destruction Of Data
3710. 3. Faulty Software
3711. 4. Residual Data
3712. 5. Wrong Parameters
3713.  
3714. C. Malicious Acts (Threats)
3715. 1. Trap Doors
3716. 2. Trojan Horse
3717. 3. Tampering
3718. 4. Snooping Or Browsing
3719. 5. Intentional Disclosure Of Data
3720. 6. Viruses
3721. D. Locus Of Attack
3722. 1. Terminals
3723. 2. Hosts
3724. 3. Front-Ends
3725. 4. Gateways
3726. 5. Links
3727. 6. Packet-Switches
3728. 7. PC/Workstations
3729. VIII.    Data Security And Recovery    1 Hour
3730. IX. Control And Audit    1 Hour
3731. X. Costs And Benefits    1 Hour
3732. A. Accessibility Versus Secrecy
3733. B. Costs
3734. 1. Money And Time For Development, Installation, Procurement, And Maintenance Of Security Measures
3735. 2. Special Skills
3736. 3. Performance
3737. 4. Productivity
3738. 5. Training Time
3739. 6. Compatibility - Of Equipment, Procedures,
3740. C. Benefits
3741. 1. Precise Definition Of Requirements
3742. 2. Value Of Information
3743. 3. Peace Of Mind
3744. 4. Productivity
3745. 5. Protection From Legal Liability
3746. 6. Protection From Loss Of Control Of Assets/Company
3747. 7. Good-Will
3748. 8. Privacy
3749.  
3750.  
3751. Topic Outline Laws And Legislation
3752. I. The Underlying Problem    1 - 2 Hours
3753. A. Theft Of Hardware And Data
3754. B. Fraud
3755. C. Physical Abuse
3756. D. Misuse Of Information And Privacy Issues
3757. E. Issues Of Adjudication And Regulation
3758. II. Laws As Tools For Computer Security    1 - 3 Hours
3759. A. Privacy Laws And Legislation
3760. B. Intellectual Property Laws
3761. 1. Trade Secrets Law
3762. 2. Patent Law
3763. 3. Copyright Law
3764. 4. Trademark Law
3765. C. Federal Laws
3766. D. State Statutes
3767. E. DPMA Model Computer Crime Bill
3768. III. Laws As Legal Options For Control    1 - 4 Hours
3769. A. License Agreements
3770. B. Intellectual Property Laws,
3771. (Trade Secrets, Patents, Copyright And Trademarks)
3772. C. Employee Non-Disclosure Considerations
3773. D. Contracts
3774. E. Warranties For Software And Hardware
3775.  
3776.  
3777. Topic Outline System Security
3778. I. Overview    1 Hours
3779. A. Definitions
3780. B. Background
3781. 1. Identifying Sensitive Systems
3782. 2. Developing A Security Program And Plan, And
3783. 3. Training Appropriate People Concerned With Both
3784. Development And Operation Of Systems
3785. C. Management Responsibility
3786. II. System Sensitivity    2 Hours
3787. A. Criticality
3788. B. Sensitivity
3789. C. Source Of Sensitivity Information
3790. D. Level Of Sensitivity
3791. III. Security Requirements    3 Hours
3792. A. Security Policy
3793. B. Accountability
3794. C. Assurance
3795. 1. Architecture
3796. 2. Integrity
3797. 3. Testing
3798. 4. Specification/Verification
3799. 5. Facility Management
3800. 6. Configuration Control
3801. 7. Disaster Recovery Or Contingency Planning
3802. 8. Compliance
3803. IV. Levels Of Security    2 Hours
3804. V.  Data Life Cycle    2 Hours
3805. A. Retention Policy
3806. B. Destruction Policy
3807. VI. Protection Planning    2 - 5 Hours
3808. A. System Description
3809. 1. The Physical Location Of The Equipment
3810. 2. Types Of Data And Information
3811. 3. Classification Level
3812. 4. Duration And Importance Of MIS Activity
3813. 5. Equipment Location
3814. 6. Equipment Description By Name And Model Number
3815. 7. Security Officers
3816. 8. Data Processing Terms
3817. 9. System Integrity Study
3818. B. MIS Security
3819. C. Communications Security
3820. D. Information Security
3821. E. Personnel Security
3822. F. Physical Security
3823. G. Contingency Plans
3824.  
3825.  
3826. Topic Outline Communications Security
3827. I. Overview    1 Hours
3828. A. Brief Review Of The Concepts Of Protection In Data Communication
3829. Systems And Networks From A Management Perspective
3830. 1. Systems Objectives: Controlled Sharing Of Information And Resources.
3831. 2. Specific Needs: Privacy, Secrecy, Integrity And Availability.
3832. 3. Policies And Mechanisms.
3833. 4. Assets: Identification Of Valuable/ Sensitive Data And Information.
3834. 5. Threats And Vulnerability.
3835.  
3836. B. The Interrelationship Of Communications Security And Network Security For
3837. Interconnected Elements:
3838. 1. Systems Connectivity
3839. 2. Public/Private Carriers
3840. 3. Relationship To Reliability And Dependability
3841. II. Threats    2 Hours
3842. A. Types Of Attacks/Failures
3843. 1. Passive Intrusion
3844. A. Disclosure Of Message Contents
3845. B. Traffic Analysis
3846. C. Disclosure Of Data On Network Users
3847. 2. Active Intrusion
3848. A. Modification Or Deletion Of Message Contents
3849. B. Insertion Of Bogus Messages
3850. C. Replay Or Reordering Of Messages
3851. D. Viruses
3852. 3. Natural Disasters/Catastrophes/Sabotage
3853. A. Human Errors
3854. B. Fires, Floods, Brown-Outs.
3855. B. Locus Of Attack/Failure
3856. 1. Terminals
3857. 2. Hosts
3858. 3. Front-Ends
3859. 4. Gateways
3860. 5. Links
3861. 6. Switches (Includes Multiplexer, Intermediate Nodes)
3862. 7. Interconnected PC/Workstations (Includes LAN, Host-PC Etc.)
3863. III. Countermeasures    2 Hours
3864. A. Encryption
3865. 1. Private-Key And Public-Key Systems - Des And RSA As Examples
3866. 2. Key Distribution
3867. 3. Link Level And End-To-End
3868. B. Authentication
3869. 1. Node And User Authentication
3870. 2. Passwords
3871. 3. Message Authentication
3872. 4. Encryption-Based
3873. 5. Added Protection For PC Authentication Date
3874. C. Access Control
3875. 1. Access Control Mechanisms-Control Lists And Passwords
3876. 2. Administration
3877. D. Contingency Planning
3878. IV. Tradeoffs - Costs And Benefits    2 Hour
3879.  
3880. Topic Outline
3881. Corporate Security Management
3882.  
3883. I. Overview    1 Hour
3884. II. Development Of Security Program    3 Hours
3885. A. Objectives
3886. B. Policies
3887. C. Connectivity, Corporate Structure, And Security
3888. 1. Connectivity Defined
3889. 2. Affect On Corporate Structure
3890. 3. Security Considerations
3891. D. Plans
3892. E. Responsibilities
3893. III. Risk Analysis    2 Hour
3894. IV. Contingency Planning    3 Hour
3895. V. Legal Issues For Managers    1 Hour
3896. A. Licenses
3897. B. Fraud/Misuse
3898. C. Privacy
3899. D. Copyright
3900. E. Trade Secrets
3901. F. Employee Agreements
3902. VI. System Validation & Verification (Accreditation)    1 Hour
3903. VII. Information Systems Audit    1 Hour
3904. VIII. Computer Security Checklist    5 Hours
3905. A. General Information
3906. B. General Security
3907. C. Fire Risk And Water Damage Analysis
3908. D. Air Conditioning Systems
3909. E. Electrical System
3910. F. Natural Disasters
3911. G. Backup Systems
3912. H. Access Control
3913. I. System Utilization
3914. J. System Operation
3915. K. Software
3916. L. Hardware
3917. M. File Security
3918. N. Data File Standards
3919. O. Shared Resource Systems Security
3920.  
3921.  
3922. Topic Outline
3923. Introduction To Accounting Controls And EDP Auditing
3924. I. Goals    1 Hour
3925. A. Role Of The Accountant
3926. B. Asset Safety
3927. 1. Organizational Asset
3928. 2. Computer Resource Abuses
3929. 3. Value Of Systems
3930. A. Hardware
3931. B. Software
3932. C. Personnel
3933. D. Operating Systems
3934. E. Application Systems
3935. F. Data
3936. G. Facilities
3937. H. Supplies
3938. 4. Proprietary And Private Data
3939. C. Data Integrity
3940. 1. Pervasiveness Of Errors
3941. 2. Individual Decisions
3942. D. System Effectiveness
3943. 1. Decision Making Value
3944. 2. Timeliness
3945. 3. Support For Competitive Advantage
3946. E. System Efficiency
3947. 1. Proper Uses Of Systems And Components
3948. 2. Misallocation Of Resources
3949. a. Theft
3950. b. Destruction
3951. 1)    Physical Acts Of Nature
3952. 2)    Physical Acts Of Persons
3953. c. Disruption Of Service
3954. 1)    Hardware
3955. 2)    Software
3956. 3)    Personnel
3957. d. Unauthorized Changes
3958. II. Roles    1 Hour
3959. A. Management
3960. 1. Top Management
3961. 2. Middle Management
3962. 3. Entry-Level Management
3963. B. Information Systems Professionals
3964. 1. MIS Orientation
3965. 2. Data Processing Orientation
3966. C. Internal Auditors
3967. D. External Auditors
3968. E. Management Controls
3969. III. Systems Cycle    1 Hour
3970. A. Auditor's Involvement
3971. 1. Concurrent Participation
3972. 2. Ex Post Review
3973. 3. Phases And Concerns
3974. B. Alternative Models
3975. 1. Traditional
3976. 2. Prototype
3977. 3. Socio-technical
3978. C. Differences In Internal And External Auditors'
3979. D. End-User Developed Systems
3980. IV. General Internal Controls    2 Hours
3981. A. Segregation Of Duties
3982. B. Proper Delegation Of Authority
3983. C. Competent Personnel
3984. D. Authorization System
3985. E. Documentation
3986. F. Physical Controls
3987. G. Supervision
3988. H. Accountability
3989. V. Access Controls    1 Hour
3990. A. Strengths And Weakness
3991. B. Encryption
3992. C. Personalized Access
3993. 1. Cards And PINS
3994. 2. Physical Identifiers
3995. D. Audit Trails
3996. 1. Accounting
3997. a. User Identities
3998. b. Validation Routines Used
3999. c. Access And Usage Desired
4000. d. Physical Location Of Originating Site
4001. e. Session Times And Dates
4002. f. Access Methods And Number Of Tries
4003. g. Results Of Access: Authorized Or Rejected
4004. 2. Operations
4005. VI. Input Controls    2 Hours
4006. A. Data
4007. 1. Preparation
4008. a. Conversion To Machine-Readable
4009. b. Prepare Totals
4010. c. Human Scanning As Quality Control
4011. d. Verification
4012. 2. Gathering
4013. a. Paper-Based
4014. b. Machine-Based
4015. c. Mixture
4016. 3. Review
4017. a. Components
4018. b. Design
4019. 1)    What Data To Gather,
4020. 2)    How To Gather Data,
4021. 3)    Who Will Gather The Data,
4022. 4)    When Will The Data Be Gathered, And
4023. 5)    How The Data Will Be Handled, Retained, And Used
4024. 4. Controls
4025. a. Hash Totals
4026. b. Financial
4027. c. Document Counts
4028. B. Validation
4029. 1. Online
4030. 2. Batch
4031. 3. Lexical
4032. 4. Semantic
4033. 5. Syntactic
4034. 6. Corrections
4035. C. Error Controls
4036. 1. Error Report
4037. 2. Field Checks
4038. 3. Record Checks
4039. 4. Batch Checks
4040. 5. File Checks
4041. VII. Communications Controls    1 Hour
4042. A. Risks
4043. 1. Reliability
4044. 2. Unauthorized Uses And Abuses
4045. 3. Errors
4046. B. Technical Failure
4047. 1. Communications
4048. 2. Hardware
4049. 3. Software
4050. 4 .Personnel
4051. C. Terrorism And Other Overt Threats
4052. 1. Aggressive
4053. a. Insertion
4054. b. Deletion
4055. c. Modification
4056. d. Intervention
4057. 2. Non-Intrusive
4058. a. Note Or File Sending
4059. b. Monitoring Activities
4060. 3. Controls
4061. a. Audit Trail
4062. b. Operations Audit Trail
4063. VIII. Processing Controls    1 Hour
4064. A. CPU Controls
4065. 1. Instruction Set Check
4066. 2. Status Check
4067. a. Kernel
4068. b. Supervisor
4069. b. Problem
4070. B. Memory Controls
4071. 1.. Physical
4072. 2 Access
4073. 3. Virtual
4074. C. Systems
4075. 1. Operating
4076. a. Protected From Users
4077. b. Insulated From Its Environment
4078. c. Users Isolated From Each Other
4079. d. Examples
4080. 2. Application
4081. a. Validation Reviews
4082. b. Programming Reviews
4083. b. Interfaces Among Programs/Routines
4084. 3. Audit Controls
4085. IX. Database Controls    2 Hours
4086. A. Access To Levels
4087. 1. Name
4088. 2. Content
4089. 3. Context
4090. 4. History
4091. B. Application Oversight
4092. 1. Update Policy
4093. 2. Reporting Procedures
4094. C. Concurrency
4095. 1. Replication
4096. 2. Partitioning
4097. 3. Priorities
4098. D. Encryption
4099. 1. Transportability
4100. 2. Personalized
4101. 3. Multiple Levels Of Access
4102. E. Physical Security
4103. 1. Access
4104. 2. File Protection
4105. 3. Data Base Administrator (DBA)
4106. 4. Backup
4107. F. Audit Controls
4108. X. Output Controls    1 Hour
4109. A. Production
4110. 1. Online
4111. 2. Off-line
4112. 3. Ad Hoc
4113. B. Distribution
4114. 1. Physical Requirements
4115. 2. Control
4116. C. Presentation
4117. 1. Content
4118. 2. Physical Form
4119. 3. Format
4120. 4. Layout
4121. 5. Time Aspects
4122. D. Interpretation
4123. 1. Availability
4124. 2. Warning System For Further Information
4125. XI. Evidence    3 Hours
4126. A. Needs
4127. 1. Assess Quality Of Data
4128. 2. Evaluate Processes
4129. 3. Review Existence Of Processes And Data
4130. 4. Initial Review
4131. a. Analytical Review
4132. b. Statistical Analysis
4133. c. Spreadsheet
4134. d. Expert Systems Or Decision Support Systems
4135. B. Limitations
4136. 1. Often After The Fact
4137. 2. Constrained To Extent Of Generalized Audit Software (Gas)
4138. C. Generalized Audit Software
4139. 1. Parallel Simulation
4140. 2. Integrated Test Facility
4141. 3. File And Record Extraction
4142. D. Specialized Audit Software
4143. 1. Industry Specific
4144. 2. Configuration Specific
4145. 3. Potential To Be More Efficient
4146. 4. Less Flexible Than Gas
4147. E. Concurrent Techniques
4148. 1. Concurrent Integrated Test Facility
4149. 2. Simulations
4150. a. Continuous
4151. b. Intermittent
4152. 3. System Control Audit Review File (Scarf)
4153. F. Human Techniques
4154. 1. Interviews
4155. a. Preparation
4156. b. Observation
4157. c. Evaluation
4158. 2. Questionnaires
4159. a. Determine Objectives
4160. b. Plan Questions
4161. c. Test
4162. d. Deliver
4163. e. Analyze
4164. 3. Observation
4165. a. Work As Participant
4166. b. Unobtrusive
4167. G. Flowcharts
4168. 1. Document
4169. 2. Data Flow
4170. 3. Systems
4171. 4. Programs
4172. H. Machine Techniques
4173. 1. Hardware Monitors
4174. a. Tracks Activity
4175. b. Analyzes Activity
4176. 2. Software Monitors
4177. a. Internal To System
4178. b. Particular Transaction Versus Sampling
4179. c. Analyzes Activity
4180. XII. Integration    2 Hours
4181. A. Asset Safety
4182. 1. Measurement
4183. a. Qualitative
4184. 1)    Questionnaires
4185. 2)    Risk Matrix
4186. b. Quantitative
4187. 1)    Expected Dollar Loss Versus Cost Of Controls
4188. 2)    Expected Time Loss
4189. 2. Cost-Benefit
4190. B. Data Integrity
4191. 1. Measurement
4192. A. Qualitative
4193. B. Quantitative
4194. 2. Cost-Benefit
4195. C. System Effectiveness
4196. 1. Objectives
4197. a. Goals Of Firm
4198. b. Usage
4199. c. Types Of Usage
4200. d. User Satisfaction
4201. e. Technical
4202. 1)    Hardware
4203. 2)    Software
4204. 3)    Degree Of Independence Of Components Of System
4205. 2. Judgment
4206. 3. Overall Evaluation
4207. D. System Efficiency
4208. 1. Objectives
4209. 2. Indicators
4210. a. Workload Monitors
4211. b. Systems Checks
4212. 3. Overall Evaluation
4213. E. Summary
4214. 1. Qualitative
4215. a. Collect All Items
4216. b. Think
4217. 2. Quantitative
4218. a. Financial Or Business Terms
4219. b. Sensitivity To Assumptions
4220. 3. Judgment
4221. Group Decision Making and Experience Transfer
4222.  
4223. Selected Readings
4224. A Telecom Security Blanket
4225. Sherman, James; Demlow, William
4226. Telephony v216n10 PP.: 33,35 Mar 6, 1989
4227.  
4228. Some System Security Suggestions
4229. Kolstad, Rob
4230. UNIX Review v7n2 PP: 90-96 Feb. 1989
4231.  
4232. Off-Site Information Transfer Speeds Alarm System Problem-Solving
4233. Russell, Rebecca D.
4234. Security v26n2 PP: 60-64 Feb. 1989
4235.  
4236. Run Circles Around Your Computer Security; Viruses-Is the Epidemic Here?
4237. Elsbury, David C.; Zalud, Bill
4238. Security v26n2 PP: 48-51 Feb. 1989
4239.  
4240. Computer Use and Abuse
4241. Kluepfel, Henry M.
4242. Security Mgmt. v33n2 PP: 72-79 Feb. 1989
4243.  
4244. Conquering Computer Viruses
4245. Yovel, Shlomo
4246. Security Mgmt. v33n2 PP: 64-66 Feb. 1989
4247.  
4248. The Computer Virus: Is There a Real Panacea?
4249. Cullen, Scott W.
4250. Office v109n3 PP: 43-46 Mar 1989
4251.  
4252. Secure Computer Network Requirements
4253. Satya, Vishnu
4254. Information Age (UK) v10n4 PP: 211-221 Oct. 1988
4255.  
4256. Security and Access Control Features of the VAX/VMS Operating System
4257. Kielsky, Michael
4258. Information Age (UK) v10n4 PP: 203-210 Oct. 1988
4259.  
4260. Personal Computer Security
4261. Gustoff, Mark E.; Sexton, Timothy J
4262. Information Age (UK) v10n4 PP: 195-202 Oct. 1988
4263.  
4264. Computer Viruses: A People-Related Problem
4265. Uretsky, Mike
4266. Employment Relations Today v15n4 PP: 265-270 Winter 1988/1989
4267.  
4268. Too Precious to Lose: Backing Up Your Data
4269. Archibald, Dale
4270. Nonprofit World v7n1 PP: 14-15 Jan./Feb. 1989
4271.  
4272. Libraries and Computers: Disaster Prevention and Recovery
4273. Miller, R. Bruce
4274. Information Technology & Libraries v7n4 PP: 349-358 Dec. 1988
4275.  
4276. The Virus Cure
4277. McAfee, John
4278. Datamation v35n4 PP: 29-40 Feb. 15, 1989
4279.  
4280. The Case for Continuity
4281. Ginn, R. D.
4282. Security Mgmt. v33n1 PP: 84-90 Jan. 1989
4283.  
4284. Artificial Intelligence Meets the Press
4285. Gross, Daniel
4286. Information Today v5n11 PP: 12-14 Dec. 1988
4287.  
4288. Computer Security: The Time Is Now
4289. Irwin, Stephen T.; Bakey, Tom
4290. Insurance Software Review v14n1 PP: 33-42 Feb./Mar 1989
4291.  
4292. The "Computer Virus" Danger Grows
4293. Menkus, Belden
4294. Modern Office Technology v34n2 PP: 38,40 Feb. 1989
4295.  
4296. New Technology Poses Challenge to Auditors
4297. Willits, Stephen D.; Alley, Lee R.
4298. Internal Auditor v46n1 PP: 12-19 Feb. 1989
4299.  
4300. Bank Finds Security Offerings Lacking
4301. Bucken, Mike
4302. Software Magazine v9n2 PP: 46 Feb. 1989
4303.  
4304. Things to Consider for an Ideal Security Match
4305. Lewis, Barry
4306. Software Magazine v9n2 PP: 43-45,49-52 Feb. 1989
4307.  
4308. Managing the Virus Threat
4309. McAfee, John D.
4310. Computer world v23n6 PP: 89-96 Feb. 13, 1989
4311.  
4312. Computers: Auditors' Friend or Foe?
4313. Thornhill, William T.
4314. Internal Auditing v4n3 PP: 86-94 Winter 1989
4315.  
4316. Computer Viruses: A Guide to Protecting Your Company's Systems
4317. Cashell, James D.; Waggoner, Jeri B.
4318. Internal Auditing v4n3 PP: 3-12 Winter 1989
4319.  
4320. Forced Entry
4321. Healy, Thomas S.
4322. Insurance Review v49n9 PP: 60-62 Sep. 1988
4323.  
4324. Professional Responsibility for Information Privacy
4325. Auerbach, Isaac L.
4326. Computers & Security (Netherlands) v4n2 PP: 103-107 June 1985
4327.  
4328. Professional Responsibility for Information Privacy
4329. Auerbach, Isaac L.
4330. Jrnl. of Information Systems Mgmt. v2n1 PP: 77-81 Winter 1985
4331.  
4332. The Business of Banks
4333. Auerbach, Isaac
4334. Bankers Magazine v167n5 PP: 79-80 Sep./Oct. 1984
4335.  
4336. Strategies For The Management Of Computer Output
4337. AUERBACH, ISAAC L.
4338. Jrnl. of Micrographics V10 N3 PP: 127-129 JAN./FEB. 1977
4339. Make Information Services Pay Its Way
4340. Allen, Brandt
4341. Harvard Business Review v65n1 PP: 57-63 Jan./Feb. 1987
4342.  
4343. An Unmanaged Computer System Can Stop You Dead
4344. Allen, Brandt
4345. Harvard Business Review v60n6 PP: 76-87 Nov./Dec. 1982
4346.  
4347. The Menace of Computer Fraud
4348. Allen, Brandt R.
4349. Office v90n2 PP: 74,76,84,86,90 Aug. 1979
4350.  
4351. The Biggest Computer Frauds - Lessons For CPAS
4352. Allen, Brandt
4353. Jrnl. of Accountancy v143 n5 pp.: 52-62 may 1977
4354.  
4355. Embezzler's Guide to the Computer
4356. Allen, Brandt
4357. Harvard Business Review v53n4 pp.: 79-89 July-august 1975
4358.  
4359. Computer Security
4360. Allen, Brandt R.
4361. Data Mgmt. Vol. 10 no 2 pp.: 24-30 Feb. 72
4362.  
4363. EDP Security
4364. Allen, Brandt R.
4365. Data Mgmt. vol. 10 no 1 pp.: 18 Jan. 72
4366.  
4367. User-Driven Design: A New Way to Computer Creativity
4368. Andrews, Dorine C.; Lind, Steven D.
4369. Office v101n5 PP: 171-172,229 May 1985
4370.  
4371. Assessing the Risk for System Failure
4372. Andrews, Dorine C.
4373. Jrnl. of Systems Mgmt. v33n12 PP: 30-36 Dec. 1982
4374.  
4375. The Data Connection: How to Get Users and Systems Personnel to Speak the Same language
4376. Andrews, Dorine C.
4377. Management World v11n10 PP: 34-35 Oct. 1982
4378.  
4379. User-Friendly Password Methods for Computer-Mediated Information Systems
4380. Barton, Ben F.; Barton, Marthalee S.
4381. Computers & Security (Netherlands) v3n3 PP: 186-195 Aug. 1984
4382.  
4383. On the Implications of Computer Viruses and Methods of Defense
4384. Cohen, Fred
4385. Computers & Security (Netherlands) v7n2 PP: 167-184 Apr. 1988
4386.  
4387. An Overview of 18 Virus Protection Products; How to Combat a Computer Virus
4388. Highland, Harold Joseph
4389. Computers & Security (Netherlands) v7n2 PP: 157-163 Apr. 1988
4390.  
4391. Virus Defense Alert
4392. Anonymous
4393. Computers & Security (Netherlands) v7n2 PP: 156,158 Apr. 1988
4394.  
4395. Are We Vulnerable to a Virus Attack? A Report from Sweden
4396. Fak, Viiveke
4397. Computers & Security (Netherlands) v7n2 PP: 151-155 Apr. 1988
4398.  
4399. Anatomy of a Virus Attack
4400. Highland, Harold Joseph
4401. Computers & Security (Netherlands) v7n2 PP: 145-150 Apr. 1988
4402.  
4403. The Application of Epidemiology to Computer Viruses
4404. Murray, W. H.
4405. Computers & Security (Netherlands) v7n2 PP: 139-145 Apr. 1988
4406.  
4407. Computer Viruses-A Post Mortem
4408. Highland, Harold Joseph
4409. Computers & Security (Netherlands) v7n2 PP: 117-122 Apr. 1988
4410.  
4411. Stamp Out Viruses!
4412. Zier, Joe
4413. CA Magazine (Canada) v121n7 PP: 36-39 Aug. 1988
4414.  
4415. Computer Viruses-Part 1
4416. Hancock, Wayland
4417. American Agent & Broker v60n8 PP: 12-16 Aug. 1988
4418.  
4419. Sick Computers
4420. Welter, Therese R.
4421. Industry Week v237n4 PP: 51,55 Aug. 15, 1988
4422.  
4423. Viruses, Trojan Horses, and Other Badware: Information and Implications for Online Searchers
4424. Clancy, Steve
4425. Database v11n4 PP: 37-44 Aug. 1988
4426.  
4427. How Deadly Is the Computer Virus?
4428. Anonymous
4429. Electrical World v202n7 PP: 35-36 Jul. 1988
4430.  
4431. Computer Corner: Has Your Computer Had Its Flu Shot?
4432. Carland, JoAnn C.
4433. Project Mgmt. Jrnl. v19n3 PP: 15-16 June 1988
4434.  
4435. Science and Technology: Keeping Out the Kaos Club
4436. Anonymous
4437. Economist (UK) v308n7558 PP: 77-78 Jul. 9, 1988
4438.  
4439. Computer Security: The How and Why?
4440. Adams, Tony
4441. Australian Accountant (Australia) v58n5 PP: 84-85 June 1988
4442.  
4443. Antivirus Vendors Form Industry Regulation Group
4444. DiDio, Laura
4445. Network World v5n28 PP: 17,20 Jul. 11, 1988
4446.  
4447. Disaster Prevention and Recovery: No Vaccine to Ward Off Effects of Virus Attacks
4448. Menkus, Belden
4449. Computer world v22n28 PP: S8 Jul. 11, 1988
4450.  
4451. Viruses Plague Networks, Jeopardize System Health
4452. DiDio, Laura
4453. Network World v5n27 PP: 1,28-30,33-34,46 Jul. 4, 1988
4454.  
4455. Protection from Infection
4456. Lammer, Peter
4457. Systems International (UK) v16n6 PP: 75-76 June 1988
4458.  
4459. Viruses Threatening Era of Computer Freedom
4460. Winter, Christine
4461. Words v16n6 PP: 41-43 May/June 1988
4462.  
4463. Computer Fraud: What You Can Do to Prevent It
4464. Brill, Alan E.
4465. Computers in Accounting v4n4 PP: 78-86 June 1988
4466.  
4467. Thoughts and Opinions on Online Services and Computer Communications
4468. Picard, Don
4469. Link-Up v5n3 PP: 3,18 May/June 1988
4470.  
4471. Sick Software? Network Virus? Insurance Won't Help
4472. Rosenberg, Robert
4473. Data Communications v17n6 PP: 70,72 June 1988
4474.  
4475. Viruses Infect Corporate MIS
4476. Ryan, Alan J.
4477. Computer world v22n22 PP: 29,31 May 30, 1988
4478.  
4479. Of Viruses and Logic Bombs: Part I
4480. Adams, Tony
4481. Australian Accountant (Australia) v58n4 PP: 83-85 May 1988
4482.  
4483. Effective and Inexpensive Methods Exist for Controlling Software Viruses
4484. Gibson, Steve
4485. InfoWorld v10n19 PP: 51 May 9, 1988
4486.  
4487. What Were Simple Viruses May Fast Become a Plague
4488. Gibson, Steve
4489. InfoWorld v10n18 PP: 32 May 2, 1988
4490.  
4491. Some Common Sense About Network Viruses, and What to Do About Them
4492. Ponting, Bob
4493. Data Communications v17n4 PP: 60,62 Apr. 1988
4494. Self-Reproduction Key to Survival of Software Virus
4495. Gibson, Steve
4496. InfoWorld v10n17 PP: 36 Apr. 25, 1988
4497.  
4498. Confidentiality of Data Is at Greater Risk in the Age of Laptops and Viruses
4499. Kask, Alex
4500. InfoWorld v10n16 PP: 34 Apr. 18, 1988
4501.  
4502. Computer Viruses Express Themselves in Many Ways
4503. Gibson, Steve
4504. InfoWorld v10n16 PP: 32 Apr. 18, 1988
4505.  
4506. Preventing the Perfect Crime
4507. Anonymous
4508. Electrical World v202n2 PP: 34 Feb. 1988
4509.  
4510. Recovering from a Computer Virus Attack
4511. Davis, Frank G. F.; Gantenbein, Rex E.
4512. Jrnl. of Systems & Software v7n4 PP: 253-258 Dec. 1987
4513.  
4514. An Approach to Containing Computer Viruses Pozzo, Maria M.; Gray, Terence E.
4515. Computers & Security (Netherlands) v6n4 PP: 321-331 Aug. 1987
4516. As AIDS Spreads, State PC Systems Are Reaching Limits
4517. Moad, Jeff
4518. Datamation v33n16 PP: 43-56 Aug. 15, 1987
4519.  
4520. Pest Control for RMIS Users
4521. Tweedy, David A.
4522. Business Insurance v21n33 PP: 27 Aug. 17, 1987
4523.  
4524. Data Physician-A Virus Protection Program
4525. Highland, Harold Joseph
4526. Computers & Security (Netherlands) v6n1 PP: 73-79 Feb. 1987
4527.  
4528. Computer Viruses: Theory and Experiments
4529. Cohen, Fred
4530. Computers & Security (Netherlands) v6n1 PP: 22-35 Feb. 1987
4531.  
4532. The Insidious Infection
4533. Colby, Wendelin
4534. Infosystems v32n5 PP: 94,96 May 1985
4535.  
4536. Message Authentication and Encryption Combined
4537. Christoffersson, Per
4538. Computers & Security (Netherlands) v7n1 PP: 65-71 Feb. 1988
4539.  
4540. 'Remember to Lock the Door': MMI and the Hacker
4541. Roberts, William
4542. Information Age (UK) v10n3 PP: 146-150 Jul. 1988
4543.  
4544. A Lesson in Perseverance: MIT Computer Science Professors Study Ways to Maintain Data Integrity
4545. Pike, Helen
4546. Computer world v22n14A PP: 10-11 Apr. 6, 1988
4547.  
4548. The 'Free and Easy' World of PCs Is in Need of a Formal LAN Security Policy
4549. Quinn, Thomas J.
4550. InfoWorld v10n13 PP: S4 Mar 28, 1988
4551.  
4552. Corporate, US Security Up for Grabs?
4553. Chester, Jeffrey A.
4554. Infosystems v35n1 PP: 24-25 Jan. 1988
4555.  
4556. Data Base Management Controls for Microcomputer Systems
4557. Hansen, James V.; Romney, Marshall B.
4558. Internal Auditor v44n6 PP: 44-47 Dec. 1987
4559.  
4560. Full-Time, Real-Time System Security
4561. Minard, Bernie
4562. Computers in Healthcare v8n12 PP: 51-57 Oct. 1987
4563.  
4564. The Network Decision
4565. Hagen, D. Scott; Elliott, D'arcy
4566. CMA Magazine (Canada) v61n5 PP: 49-53 Sep./Oct. 1987
4567.  
4568. Getting a Lock on Controlling Corporate Data
4569. Steinbrecher, David
4570. Today's Office v21n12 PP: 40-46 May 1987
4571.  
4572. Computer Security-How to Protect Yours
4573. Turner, Paula F.
4574. Legal Economics v13n2 PP: 49-53 Mar 1987
4575.  
4576. Data Security
4577. Honan, Patrick
4578. Personal Computing v11n1 PP: 101-107 Jan. 1987
4579.  
4580. A Risky Business
4581. de Montgailhard, Hugues Desazars
4582. Infosystems v33n9 PP: 82 Sep. 1986
4583.  
4584. Microcomputer Security: Back to Basics
4585. Shoor, Rita
4586. Infosystems v33n9 PP: 44-46 Sep. 1986
4587.  
4588. Developing Standards for Protecting Electronic Financial Data
4589. Zeitler, Eddie L.
4590. Bank Administration v62n10 PP: 38,40 Oct. 1986
4591.  
4592. Shared PCs Are Control Headache for Firms
4593. Kask, Alex
4594. InfoWorld v8n33 PP: 66 Aug. 18, 1986
4595.  
4596. Micro-Mainframe Links: A Status Report
4597. Anderson, Kevin; Bernard, Alan
4598. Jrnl. of Accounting & EDP v2n1 PP: 61-63 Spring 1986
4599.  
4600. Microcomputer Security: Audit Problems and Solutions
4601. Gallegos, Frederick; Basica, Daniel
4602. Jrnl. of Accounting & EDP v1n4 PP: 49-56 Winter 1986
4603.  
4604. Strategies for Effective Microcomputer Management
4605. Kleinberg, Eugene R.
4606. Jrnl. of Information Systems Mgmt. v3n1 PP: 27-35 Winter 1986
4607.  
4608. Microcomputer Security and Control Awareness
4609. O'Sullivan, Daniel F., Jr.
4610. Massachusetts CPA Review v60n1 PP: 14-18 Winter 1986
4611.  
4612. Data Sharing and Access Protection in Business System 12
4613. du Croix, A. J.
4614. Computers & Security (Netherlands) v4n4 PP: 317-323 Dec. 1985
4615.  
4616. Users Finally Realize PC's Potential by Tapping Mainframe Data Stream
4617. Caradonna, Lori
4618. Bank Systems & Equipment v22n12 PP: 52-56 Dec. 1985
4619.  
4620. PC's from a Data Management Perspective
4621. Iyer, Shekar
4622. Canadian Data systems () v17n10 PP: 90-95 Oct. 1985
4623.  
4624. Strategic Planning for Data Integrity
4625. Harold, Kevin E.
4626. Internal Auditor v42n3 PP: 23-26 June 1985
4627.  
4628. A Shot in the Dark
4629. Moore, Steve
4630. On Communications v2n5 PP: 41-44 May 1985
4631.  
4632. Micro to Mainframe: The Software Connection
4633. Snyders, Jan.
4634. Infosystems v32n5 PP: 40-45 May 1985
4635.  
4636. Controlling Computer Losses
4637. Musson, Melvyn
4638. National Underwriter (Life/Health) v89n1 PP: 9 Jan. 5, 1985
4639.  
4640. Software viruses: PC-health enemy number one. (covert code latest PC security threat) (includes related article on maximizing the safety of disks)
4641. Joyce, Edward J.
4642. Datamation VOL.: v34 : n20 Oct. 15, 1988
4643.  
4644. Mobilizing for war against computer viruses. (column)
4645. Perry, William E.
4646. Government Computer News VOL.: v7 : n21 : p107(1) : Oct. 10, 1988
4647.  
4648. Mad Macs: the scoop on Macintosh viruses: their history, identification, and eradication. (includes related articles on tips for keeping your Mac virus-free and viral antidotes)
4649. Stefanac, Suzanne
4650. Macworld VOL.: v5 : n11 : p92(9) : Nov., 1988
4651.  
4652. Viruses and Trojans strike - but very rarely: lowering risks of downloaded danger. (dangers of hidden, destructive software bugs)
4653. Getts, Judy
4654. PC World VOL.: v6 : n10 : p72(2) : Oct., 1988
4655.  
4656. 'Virus trial' defendant convicted. (Donald Gene Burleson)
4657. Brower, Emily
4658. MacWEEK VOL.: v2 : n39 : p3(1) : Sept. 27, 1988
4659.  
4660. Checkpoints against viruses. (network manufacturers produce recommendations)
4661. Keefe, Patricia
4662. Computer world VOL.: v22 : n38 : p55(1) : Sept. 19, 1988
4663.  
4664. Programmer convicted after planting a 'virus'. (
4665. Donald Gene Burleson)
4666. New York Times VOL.: v138 : n47,635 : p29(1) : Sept. 21, 1988
4667.  
4668. Secure PCs from virus attacks.
4669. David, Jon
4670. Computer world VOL.: v22 : n37 : p43(3) : Sept. 12, 1988
4671.  
4672. CCTA responds to departments' virus worries. (computer consultancy warns about software viruses)
4673. Nicolle, Lindsey
4674. Computer Weekly : n1125 : p14(1) Aug. 4, 1988
4675.  
4676. Sparse coverage for viruses: computer insurance policies inadequate in face of spreading infection. (includes related article on arrest of computer hackers)
4677. Daly, James
4678. Computer world VOL.: v22 : n33 : p1(2) : Aug. 15, 1988
4679.  
4680. Razor blades in Apples. (contains related articles on virus eradication efforts and possible solution software)
4681. Coale, Kristi
4682. MacUser VOL.: v4 : n9 : p304(6) Sept., 1988
4683.  
4684. Package offers virus cure. (Vaccine, computer software from FoundationWare)
4685. Computers in Banking VOL.: v5 : n8 : p61(3) : Aug., 1988
4686. Upgrade has password control, data encryption. (Watchdog 5.0, data security software from Fischer International Systems Corp.)
4687. Computers in Banking VOL.: v5 : n8 : p64(1) : Aug., 1988
4688. No vaccine to ward off effects of virus attack. (disaster prevention and recovery)
4689. Menkus, Belden
4690. Computer world VOL.: v22 : n28 : pS8(1) : July 11, 1988
4691.  
4692. Scent of money lures firms to jump on antiviral bandwagon. (computer viruses)
4693. Parker, Rachel
4694. InfoWorld VOL.: v10 : n27 : p30(1) : July 4, 1988
4695.  
4696. Viruses plague networks, jeopardize system health. (computer viruses) (includes related article on infamous computer viruses)
4697. DiDio, Laura
4698. Network World VOL.: v5 : n27 : p1(6) : July 4, 1988
4699.  
4700. Protecting against computer viruses; know your enemy.
4701. Kane, Pamela
4702. Lotus VOL.: v4 : n7 : p17(2) July, 1988
4703.  
4704. Newswire. (Connectivity section)
4705. PC Week VOL.: v5 : n26 : pC5(1) June 28, 1988
4706. Ways to battle computer viruses: safe telecommunication may be your best protection against viruses. (Telecommunications)
4707. Fischer, Michael
4708. A+ VOL.: v6 : n8 : p81(2) Aug., 1988
4709.  
4710. A Virus Carries Fatal Complications. (Strict security may prevent tampering, but the stricken have little hope) (The Executive Computer) (column)
4711. Lewis, Peter H.
4712. New York Times VOL.: v137 : n47,548 : pF11(1) : June 26, 1988
4713.  
4714.  
4715. DACUM
4716. II
4717.  
4718. DRAFT
4719. Center for Decision Support
4720.  
4721. Idaho State University
4722. Center Report 154
4723. Description: ETCORP/Paradigm (DS) FINAL Day 5
4724. Extract Date: 8/11/93 14:16:35
4725. Edited 8/11/93 - Schou 14:19:33 -23:19:15
4726. Edited 8/12/93 - Schou 08:06:31 -22:20:11
4727. Edited 8/13/93 - Schou 05:36:01 -19:19:58
4728. Edited 8/14/93 - Schou 06:53:33 -20:22:03
4729. Imported Documents
4730. Literacy and Basic Skills (78.33)
4731. Green Book Materials (61.50)
4732. Edited 8/22/93 - Schou 00:03:49 -02:46:23
4733. Print Date: 8/22//93 02:56:05
4734. Edited 11/27/93 - Schou 02:33:54 -19:03:22
4735. Prepared by
4736. Corey D. Schou
4737. The Center for Decision Support
4738. and
4739. James Frost, Herb La Fond, Nathan Wingert
4740. Simplot Decision Support Center
4741.  
4742. August 1993
4743.  
4744. Copyright 1989 1990, 1993, 1994
4745. All Rights Reserved
4746. DACUM II Report
4747. Introduction
4748. As a result of the Computer Security Act of 19872, government agencies have identified over 50,000 sensitive systems. Individuals who are operationally involved with these systems are required by the 1987 act to receive security training. The National Institute of Standards and Technology (NIST) is entrusted with the major program responsibilities for government wide computer security and their initiatives have increased the awareness and improved management and application of technology to government security. In addition, many companies have recognized the need to meet the spirit of this requirement as well. One conservative estimate is that the private sector need for information and computer security is at least twice the governmental need.
4749. As we all know, the United States Federal Government is characterized by a large number of competing agencies with complex agendas. An example of this complexity is shown by a recent Office of Personnel Management (OPM) regulation that outlines the training requirement for the Computer Security Act.
4750. The December 4, 1991, edition of the Federal Register announced that effective January 3, 19923, the heads of Federal agencies are to provide computer security training as outlined in the National Institute of Standards and Technology (NIST Computer Security Training Guidelines).
4751. The mandated training is to be provided:
4752. 1.    to all new employees who fit one of five categories of computer users, within 60 days of their appointment
4753. 2.    whenever there is a significant change in the agency information security environment or procedures or when an employee enters a new position which deals with sensitive information.
4754. 3.    as computer security refresher as determined necessary by the agency based on the sensitivity of information that the employee uses or processes.
4755. This training must be provided by all agencies and many Federal contractors. The spectrum of end users extends from the Post Office to the Department of Defense - The Department of Education to the Department of Energy.
4756. How should one go about identifying the critical training issues? This was defined in NIST Special Publication 500-172 by Mary Anne Todd and Constance Guitan. During 1992 NIST and the NCSC convened a meeting at the Simplot Decision Center at Idaho State University. The objective was to review the Todd model in the area of awareness and to develop awareness materials for use by FISSEA4.
4757. The following are the preliminary results of the second Design a Curriculum (DACUM5 II) sessions held at Idaho State University. The DACUM was conducted over a six day period during August 1993.
4758. The meetings were conducted by the staff of the Center for Decision Support in the Simplot Decision Center. All data were collected using the Paradigm software package (v 1.5.3). All materials from DACUM I (1992), including the 'Green Book', were available to all participants as on-line documents. In addition there were over 15Mb of other documents for participant use. As the teams worked on the various aspects of the project, all pervious writing was made available to the entire team.
4759. The Process
4760. The ETCORP6 (Electronic Technology for Collaboration, Organizational Re engineering and Paradigm Change) process used in the Simplot Decision Support Center is designed to allow individuals to work anonymously in parallel.
4761. Days 0 Through 3 - Establishing The Foundation
4762. The first two days were devoted to establishing a baseline to approach the Todd model. During the third day, the teams completed the prototype of the new matrix and collectively developed a writing strategy.
4763. First, we extended the agreement on the differences among Awareness, Training, and Education (AT&E). The following was developed as the baseline7.
4764. Awareness
4765. Awareness is at the lowest level of the AT&E solution to information security. It is designed to affect short term memory. It is composed of stimulation, focus, attention, decision and assimilation. A successful AT&E program will begin by meeting these five requirements.
4766. Stimulation
4767. Stimulation is the very first phase of learning. At this level some event triggers a basal level response that "wakes up" the individual's nervous system. In many work places, placing a security violation notice on the boss' desk manages to get him stimulated quickly. However, that is negative stimulation. Positive stimulation is preferred. This is achieved by a variety of techniques such as distributing an announcement of cash awards for security suggestions. An example of a key for widespread recognition is to use a colored paper or a style of announcement that is unique only to monetary awards for security suggestions.
4768. Focus
4769. Obtaining learner focus is a concept that is not so foreign to most of us. One of the most common examples of focus is the use of different color badges to indicate specific levels of security clearance. A common example for stimulating focus is the use of different color paper while maintaining the same shape and design for security information products that may change on a yearly basis.
4770. Many agencies or companies use COMPUSEC information cards that are of a particular color, e.g., blue. When the content of the cards is updated, the cards are deliberately changed to a bright yellow so that users, who have these cards by their computers know just by color if their cards are current. The idea behind this form of motivation is that seeing a specific shape or color or hearing a particular tone will trigger senses to tune into the next stage of awareness - focus.
4771. The problem with focus is that humans tend to practice a tuning out process called acclimation. If a stimulus, which was once a powerful attention getter is used repeatedly in the same environment the learner will selectively tune out the stimulus.
4772. Attention
4773. Attention can also be obtained by using such 'gimmicks' as key chains, magnetic tags, posters, and other visual clues that offer daily reminders that security is a work habit.
4774. Decision
4775. The first three steps outlined above usually take place in the human brain in a nanosecond. Once the learner's attention is attained, the leap to conscious decision becomes a critical yet most important part in changing the employee behavior. The security world abounds in examples of primary decision making behavior (often termed the exercise of short term memory). Two key control operations, use of personal passwords and inserting employee card with PIN numbers, are examples of primary decision making behavior. The purpose of imposing this level of effort on an employee is to make him think about what he is about to do.
4776. On a higher plane, forcing the employee to exercise short term memory is necessary to evoke a higher level of security practices. These practices include:
4777. 1.    Stopping to read a bulletin board or scrolling electronic messages
4778. 2.    Deciding to read a new security regulation
4779. 3.    Deciding to read the security corner of the company newsletter
4780. 4.    Deciding to attend a security lecture
4781. Messages developed for employees at this level are often the most difficult to construct, yet they are the key to leading an entire organization into a better security performance profile. A possible motivator is the inclusion of documented system intrusions or 'data thefts' from other firms.
4782. Assimilation
4783. Assimilation is a term we have borrowed from the learning theorist Jean Piaget. It is a transformational component of learning through which all knowledge is acquired. It is a cognitive process in which an individual incorporates new experiences into already existing schema of operation. At this level of operation, the learner/employee consciously decides to incorporate security practices into his behavior. This experience is characterized by a growth in behavior pattern often without significant qualitative change in cognitive processing.
4784. Training
4785. There is a gray zone between awareness and training as depicted earlier in figure 3. A gross distinction between them is that in awareness activities the learner is a passive recipient of information, while in the training environment the learner has a more active role in the learning process. A primary role of awareness programs is to motivate employees/learners to move into a training mode and actively seek more knowledge. A fundamental goal of training programs is to motivate learners to move knowledge and skills from short term memory into long term memory. Very often these knowledges and skills become chained sequences of behavior that require little higher level mental processing.
4786. In organizations where these functions are divested, collaboration between the corporate providers of training and the corporate planners of INFOSEC awareness is essential to developing and delivering quality learning experiences.
4787. Training vs. Education
4788. The distinction between training and education can be made by examining the intent and scope of the instruction. In a training environment the employee is taught to use specific skills as part of exacting job performance. In an education context the employee would be encouraged to examine and evaluate not only skills and methods of work but fundamental operating principles and tenants upon which job skills are based. The employee is using internalized concepts and skills to perform operations such as analyses, evaluation, and judgment to reach higher cognitive level decisions that lead to the accommodation of newly integrated knowledge and skill. Accommodation is an end process in which the learner makes a conscious decision to modify existing ways of thinking and responding to satisfy new experiences and knowledge. Very often, accommodation results in significant qualitative changes in performance. An example of operations at this level would be the designers of networks that require interpretive techniques to assure varying levels of security. Capability to operate at this level is fostered through educational programs and processes.
4789. The figure below shows an example of computer security content that is based on the learning continuum principle. Implicit in the example is the dynamic interrelation and interdependence of awareness, training and education activities.
4790. Goal: Facilitate the increased use of password protection among employees.
4791. Awareness Activities: Reminder stickers for keyboards
4792. Training Activity: Computer Based Instruction on the use of passwords for agency specific machines
4793. Educational Activity: A recognized COMPUSEC expert provides employees an opportunity to explore why passwords are used in general and evaluate the current agency protection techniques.
4794. A true computer security learning program incorporates concepts and elements from each level and presents the employee/learner with a totally integrated succession of experiences. The next figure summarizes activities which many be found on each level of operation.
4795. AWARENESS
4796. Stimulation:                Focus:            Attention:        Decisions:
4797.     Security only colors        Change Locks        Bulletin Boards        Read Security Reg.
4798.     Security only music theme        Reminders            Flyers        Read Magazines
4799.                                                     Posters        Attend Lecture
4800. Assimilation:
4801.             Key ring with message                                Short Demonstrations
4802.             Short Seminars                                    Video Tape Programs
4803.  
4804. TRAINING
4805. Active Knowledge Seeker                        Long Term Memory
4806.     Self Paced Course                                Computer Based Instruction
4807.     OJT                                            Multi- Session Seminar
4808. Conferences
4809. EDUCATION
4810. Internalization                        Accommodation
4811.     Point Papers                            Long Term Training
4812.     Study Groups                        Research and Deliver Briefing
4813.     
4814. Days 4 and 5 of DACUM II
4815. On days four and five the team began writing to fill in the newly designed Awareness Training and Education matrix.
4816. The Results
4817. Review and Validation of DACUM I Results by New Group.
4818. During the first day, the group reviewed the output from DACUM I. As noted earlier, consensus was reached about the definitions of Awareness, Training and Education. The team reviewed electronic versions of the awareness materials developed for FISSEA. The DACUM II team agreed that with modification8 the materials would be useful. The Center for Decision Support agreed to function as a clearing house for these materials for FISSEA.
4819. Review and Modification of Todd Model
4820. The Todd model was reviewed by the group for consistency and applicability. It was agreed that the model was well conceived at the time; however, there were several issues that were overlooked. Since the Todd model concept was sound, the team decided to use it as a starting point for an expanded Federal AT&E program.
4821. Todd Model NIST 500-172
4822. The Todd model had been reviewed as part of DACUM I. The original model had five categories:
4823.     Executives
4824.     Program/Functional Managers
4825.     IRM, Security, and Audit Personnel
4826.     ADP Management, Operations and
4827. Programming Staff
4828.     End Users
4829.  
4830.  
4831. Todd Model
4832. NIST 500-172
4833.  
4834. Todd Model as Revised by DACUM I
4835. On the basis of a consensus reached during DACUM I, the granularity of categories was modified. The new categories were
4836.     Executives
4837.     Program Managers
4838.     Functional Managers
4839.     IRM
4840.     Security and Audit
4841.     ADP Management and Operations
4842.     End Users9
4843.  
4844. The DACUM I team decided that the changes were appropriate for the awareness level activities. As the DACUM II team addressed the training activities, they decided that a category set that dealt with function performed rather than management level made more useful.10
4845. Creation of New AT&E Matrix
4846.  
4847. After the team had identified the areas that needed change, they developed a new approach that combined the best of the Todd, McCumber, and NSTISSC models. After reviewing the Todd model, the team decided that the awareness materials and categories as modified by the DACUM 1.511 meeting would be adequate.
4848.  
4849. At the training level the team then decided to create categories based on functions. These categories were:
4850. Manage    Acquire    Design and Implement    Operate    Use
4851. The team realized that others may define new categories; therefore, they created a category called Other12 to provide extensibiility.
4852. To provide transition from Awareness to Training, the team decided to prescribe a common knowledge base that would be expected for each of the functional categories. This element has been called Literacy and INFOSEC Basics. This is envisioned as a common course (above the Awareness level) across all Federal agencies. If an employee were to have had this background, he/she could be expected to enter any of the appropriate functional courses.
4853. The team further recognized that 'Security Experts' had an entirely different set of expectations that could be described as Education. These individuals may enter through the functional category training path or may be dealt with here directly based on their experience. There has been discussion of having a DACUM III that would define the common body of knowledge required for this level. This activity would also be useful for professionialization efforts.
4854. McCumber Model Applied To The New Matrix
4855. The team also agreed to use the McCumber model as one of the components of the design of training materials. Before one can begin to develop an Awareness, Training and Education program, it is essential to establish the boundaries of the training requirements. The development of an AT&E focused on security of information addresses three dimensions that restructure the classical boundaries. The training model deals with information states, information characteristics and their associated security measures.
4856. A.    Information States    B.    Information Characteristics
4857.     1.    Transmission        1.    Trust    
4858.     2.    Storage            2.    Integrity
4859.     3.    Processing            3.    Confidentiality
4860. C.    Security Measures
4861. 1.    Policy and Practice
4862. 2.    Technical        
4863. 3.    Education and Training
4864.  
4865. This approach to information security is represented in a model developed by John McCumber of the United States Air Force.13
4866.  
4867. The McCumber Model
4868. This model has recently been extended by the author14 to accommodate the Canadian Trusted Computer Product Evaluation Criteria15 (CTCPEC) which explicitly split their criteria into two distinct groups: functionality and trust. Both of these can be addressed by AT&E.  The following figure shows the relationship of the elements defined by DACUM II.
4869.  
4870.  
4871. The basis of the DACUM II proposal is the awareness material developed at DACUM I. It provides minimum compliance with U.S. Code 5 CFR Part 930 subpart C.. After Federal employees have been made aware of their security responsibilities, they should take part in Literacy and INFOSEC Basics courses. This course could be developed as an agency independent training element. This should represent savings to the government.
4872. The third component of the DACUM II model is Function Specific training. It is intended to be specific to agency needs.
4873. The final component of the model is for security Experts. This is more of an Education rather than element. Both here and in the Function Specific Training, one would be expected to demonstrate performance and knowledge. It is expected that future work will be done to establish the knowledge and performance criteria in each category.
4874. The DACUM II model is designed to be extensible by adding materials in the 'Other Areas' of the Function Specific Training. The authors and FISSEA expect suggestions for additions to this area.
4875. 4. Development of new materials.
4876. Once the DACUM II model for the AT&E needs for Federal employees, it was necessary to determine what belonged in each level. The team used the products from day one and from DACUM I to create a list of performance based items for students. This list was then reviewed electronically and all items were moved to one or more of four different categories.
4877. Expert Knowledge (This is called 'Above' in the text)
4878. Function Specific Training
4879. Literacy/INFOSEC Basics
4880. Awareness or outside the domain of INFOSEC
4881. Once the materials were distributed, the writing teams began the process of completing outlines.
4882. To be Done
4883. Establish Common Body of Knowledge for the security experts category. There was discussion that this might well be done by the Center for Decision Support and the Simplot Decision Support Center. This approach would allow the consistency among levels to be maintained.
4884. Writing The Literacy-INFOSEC Basics
4885. The team decided to create a small sub-group to write the Literacy/ INFOSEC Basics portion of this document. This three person team devoted to this task brought their INFOSEC knowledge and pedagogic skills to creating an instructional element to bridge the gap between Awareness and Training. The intent was to develop an outline for the pre-requisites for the training specific materials.
4886. The following is the draft of the outline for the Literacy and INFOSEC Basics course.
4887. Outline for Literacy-INFOSEC Basics
4888. Purpose:
4889. This instruction is intended to serve as a guideline for the development of curricula to provide the employee with the skill or ability to design, execute, or evaluate agency INFOSEC procedures and practices. Elements of the 'Green Book'16 may be used to develop materials for Literacy and INFOSEC Basics.
4890. A. Information Technology
4891. 1. Telecommunications Basics
4892. 2. Computer Basics
4893. 3. Networks
4894. 4. Vocabulary
4895.  
4896. B. Information Systems Security Overview
4897. A summary of the security disciplines and how they interrelate
4898. C. INFOSEC Overview
4899. Protection of information in information systems and access to resources
4900. Physical Security
4901. Construction Standards For Areas
4902. Locks & Key Controls
4903. Electronic Access Control Devices
4904. Alarm Systems
4905. Vaults And Secure Storage
4906. Administrative Security
4907. Categorization Of Information,
4908. Confidentiality, Availability, Integrity, Sensitivity,    
4909. Classified V. Unclassified, Criticality
4910. Communications Security
4911. Brief Review Of The Basic Concepts Of Protection In Data Communication Systems
4912. And Networks From A Management Perspective.
4913. Systems Objectives: Controlled Sharing Of Information And Resources.
4914. Specific Needs: Privacy, Secrecy, Integrity And Availability.
4915. Policies And Mechanisms.
4916. Assets: Identification Of Valuable/ Sensitive Data And Information.
4917. Threats And Vulnerability.
4918. The Interrelationship Of Communications Security And Network Security For Interconnected Elements:
4919. Systems Connectivity
4920. Public/Private Carriers
4921. Relationship To Reliability And Dependability
4922. Threats
4923. Types Of Attacks/Failures
4924. Passive Intrusion
4925. Disclosure Of Message Contents
4926. Traffic Analysis
4927. Disclosure Of Data On Network Users
4928. Active Intrusion
4929. Modification Or Deletion Of Message Contents
4930. Insertion Of Bogus Messages
4931. Replay Or Reordering Of Messages
4932. Viruses
4933. Natural Disasters/Catastrophes/Sabotage
4934. Human Errors
4935. Fires, Floods, Brown-Outs.
4936. Locus Of Attack/Failure
4937. Terminals
4938. Hosts
4939. Front-Ends
4940. Gateways
4941. Links
4942. Switches (Includes Multiplexer, Intermediate Nodes)
4943. Interconnected Pc/Workstations (Includes LAN, Host-PC etc.)
4944. Countermeasures
4945. Encryption
4946. Private-Key And Public-Key Systems - DES and RSA As Examples
4947. Key Distribution
4948. Link Level And End-To-End
4949. Authentication
4950. Node And User Authentication
4951. Passwords
4952. Message Authentication
4953. Encryption-Based
4954. Added Protection For Pc Authentication Date
4955. Access Control
4956. Access Control Mechanisms-Control Lists And Passwords
4957. Administration
4958. Contingency Planning
4959. Approved Cryptographic Devices List
4960. STU III use
4961. FAX Connections & Controls
4962. Emergency Plans (For Overseas Only)
4963. Tradeoffs-Costs & Benefits
4964. Accessibility Versus Secrecy
4965. Personnel Security
4966. Operational Security
4967. Computer Security
4968. Technical Security
4969. Area Evaluations By Techies
4970. Technical Countermeasures Missions
4971. Testing Of Shielded Enclosures & Zoning
4972. Vocabulary
4973. C. Data Protection
4974. Determination of Information Sensitivity
4975. Access
4976. Hardware & Software Controls
4977. Back-up Procedures
4978. Recovery Techniques
4979. Data Encryption Uses
4980. Disposition of Magnetic Media
4981. Systemic Auditing
4982. Evidence of Intrusion
4983. (recognition that a system may have been intruded into. reporting and recognizing the event.)
4984. D. Legislative & Ethical Considerations
4985. National Authorities
4986. Executive Orders, National Legislation, National Security Decisions Reference list, Appendix B, "Computer Security Basics," by Deborah Russell and G.T. Gangemi Sr., Published by O'Reilly & Associates, Inc., Sebastopol, Ca., December 1991, pages    277-288.
4987. Director Central Intelligence, 1/16
4988. Policy on Secure Voice (NCSC-8)
4989. Policy for Safeguard & Control of COMSEC
4990. NCSC-1 Requires agencies and departments to establish COMSEC material control systems. NCSC-1 Requires agencies and departments to establish COMSEC material control systems.
4991.  
4992. Policy of Use Of CRYPTO Material
4993. NCSC-5 Provides guidance on the selection and protection of machine crypto systems for use in high risk environments. NCSC-5 Provides guidance on the selection and protection of machine crypto systems for use in hig
4994.  
4995. Industrial Security Program Concepts
4996. National Telecommunications and INFO SYS SEC Policy
4997. NTISSP 3
4998.                 
4999. Communications Privacy Act
5000. Fair Labor Standards Act
5001. Omnibus Diplomatic Sec, Anti terrorism Act
5002.  
5003. Agency or Department Policies
5004.  
5005.     Ethics
5006. Ethics in Government Act?
5007. What reporting actions are required of the Agency
5008. Procurement Integrity Act
5009. What reporting actions are required of the Agency
5010. Financial Managers Integrity Act
5011. Responsible Decision-Making
5012. Confidentiality & Privacy
5013. Piracy
5014. Fraud & Misuse
5015. Liability
5016. Copyright
5017. Trade Secrets
5018. Sabotage
5019.  
5020. Legal Considerations (Appropriate To Activity):
5021. Release Of Information From Agency Control
5022. "Private" Vs Work Use Of Computers
5023. Personal Use Of Government Equipment
5024. Intellectual Property Rights
5025. Duplication Of Licensed And Copyright Material
5026. Release Of Information To Contractors
5027. Release To Foreign Nationals
5028. Monitoring Of Employees
5029. Non-Disclosure Agreements
5030. Liability For Unauthorized Disclosure
5031. Computer Data As Evidence
5032. Federal Rules Of Evidence
5033. Privacy And Workforce Monitoring
5034. Contractual Agreements For Services
5035. Ownership Of Data
5036. Patent Secrecy Orders
5037. Protection Of Marked Proprietary
5038. Wiretapping
5039. Foreign Sales
5040. Foreign Govt. Information In Confidence
5041. Contract Award Protests
5042. Competition Sensitive Information
5043. Key Escrow Technology
5044. E. How To Get Help
5045. Organizational Activities That Provide Help:
5046. Computer Emergency Response
5047. Help Desk, Trouble Call, Or Systems Staff
5048. Courses, Conferences, Seminars
5049. Reference Materials & Updates
5050. Operating Procedures And Documentation
5051. Schedule Training
5052. Agency Specific On-Line Services
5053. Fraud, Waste, And Abuse
5054. On-Line Help Options
5055.  
5056. External Organizations And Sources That Provide Help:
5057. Obtaining Federal Publications
5058. Federal Computer Security Program Managers' Forum
5059. National Institute Of Standards And Technology (NIST)
5060. NIST Computer Security Bulletin Board
5061. National Computer Security Center (NCSC)
5062. DOCKMASTER
5063. INTERNET Help
5064. General Services Administration
5065. Office Of Personnel Management
5066. General Accounting Office
5067. Office Of Management & Budget
5068. Vendor Hotline Support
5069. Agency Publications (Newsletters, Notices, Magazines)
5070. Professional Associations
5071. (E.G. Software Publishing Association,
5072. Association Of Computer Machinery, (IEEE), etc.
5073.  
5074. Internal Organizational Personnel to Contact:
5075. Information Systems Security Officer        
5076. Information/Procedural Security Officer
5077. System Manager & Staff
5078. Supervisor
5079. Security Desk Officer
5080. Communications Security Officer
5081. F. Networks
5082. Network navigation
5083. Ability to move from one system to another in a network; communicate on
5084. a network
5085. Vulnerabilities in distributed systems
5086. G. General Knowledge        
5087. How To Login
5088. How To Logout
5089. Understanding Contingency Planning Concepts
5090. Security In Relation To Productivity
5091. Understanding Importance Of Identification And Authentication
5092. Concept Of "Vulnerability" Vs. "Threat"
5093. What Types Of Incidents Are Reportable
5094. How To Report Incidents
5095. Virus Protection
5096. What User Activities Are Security Violations
5097. Critical Characteristics Of Information
5098.  
5099. Writing The Training Specific Document
5100. To facilitate the writing process of the training specific documents, each writing team was given an outline in the ETCORP/Paradigm writing tool. The following figure shows the contents of a typical outline.
5101.  
5102. 1.    Manage
5103. 2.    Purpose
5104. 3.    Definition Of Community
5105. 4.    Definition Of Jobs
5106. 5.    Define Terms And Concepts
5107. 6.    Identify "Who Does What"
5108. 7.    Outline Impact On Mission
5109. 8.    Perform Following Skills In INFOSEC
5110. 9.    Identify Risks
5111. 10.    Identify Accreditation
5112. 11.    Identify Personnel Security Needs
5113. 12.    Identify Physical Security Needs
5114. 13.    List Systems Documentation
5115. 14.    Prepare Security-Related Plans
5116. 15.    Identify Technological Issues
5117. 16.    Identify Administrative Issues
5118. 17.    Identify Sources Of Help
5119. 18.    Identify Data Related Issues
5120. 19.    Identify System Related Issues
5121. 20.    Identify Database Issues
5122. 21.    Identify Network Issues
5123. 22.    Identify System Development Life Cycle Issues
5124. 23.    Identify Operational Issues
5125. 24.    Identify Training Issues
5126. 25.    Identify Certification Issues
5127. 26.    Identify Policy And Legal/Regulatory Issues
5128. 27.    Identify Liability Issues
5129. 28.    Identify Sound Computer Practices
5130. 29.    Identify Labeling Issues
5131. 30.    Identify Ethics/Conduct Issues
5132. 31.    Identify Continuity Planning Issues
5133. 32.    Identify Examples If Its Incidents
5134. 33.    List Trade-Off/Cost-Benefit Issues
5135. 34.    Outline States Of Information
5136. 35.    Outline Characteristics Of Information
5137. 36.    Identify Countermeasures
5138. 37.    Parking Lot
5139. 38.    Summary
5140.  
5141.  
5142. The categories were selected from those developed during DACUM I. This was done to ensure that the awareness materials had a common thread with the training documents. The writing teams had complete control over their area and could change the outline if in their professional judgment it was best for the product. They were encouraged to use the power of the tool to share information within the document.
5143. The following is the report from DACUM II. The contents have been edited for readability and spelling only. All deleted items referenced in the text were deleted by the original author. The only other items deleted were notes indicating the original author had not supplied a definition of the terms he/she was using.
5144. I. Initial Question / Instructions
5145. Complete the following outlines for your writing team. Use the On-line materials and writing from other sections as appropriate.
5146. Additional Material
5147. The full text of this document, disks, slides for executive briefings, electronic presentations, and the results of DACUM III are available from Corey D. Schou
5148. The Center For Decision Support
5149. Idaho State University
5150. 83205-4043 
5151. (208) 236-3040
5152. Schou@SDSC.ISU.EDU
5153.  
5154. There are additional DACUM sessions being scheduled during 1994 and 1995.
5155.  
5156. Sample Slide Sets
5157. The following are the slides that can be used for security briefings. 
5158. There are two sets of slides. 
5159. The first are ones which may be used with these materials.  The first page is an example of the teaching notes to accompany the slides.
5160. Set Two is an example of the Federal Information Systems Security Educators Association (FISSEA) slides that were developed as a result of DACUM II.  
5161. Complete full color sets, slides, site licenses, video and slides are available from the Center for Decision Support.
5162. 1    Network Security, Charles Pfleeger, Unpublished Report M-381 (HQ 87-32813/1
5163. 2     P.L. 100-235
5164. 3     Under U.S. Code 5 CFR Part 930 subpart C.
5165. 4    FISSEA-Federal Information Systems Security Educators Association
5166. 5    One characteristic of ETCORP DACUM exercises is that they are open-ended. We expect to have suggestions made to this living document.
5167. 6    ETCORP (Electronic Technology for Collaboration, Organizational Re engineering and Paradigm Change)
5168. 7     It was based on an paper presented at the 1993 IFIP conference, 1993. "Developing Awareness, Training, and Education: A Cost Effective Tool For Maintaining System Integrity", Proceedings, IFIP 1993, Canada, Schou, C.D., Maconachy, W.V.., Frost, James.
5169. 8     To meet the requirements outlined by the DACUM 1.5 group, the new categories would be re-aligned.
5170. 9    Both DACUM I and DACUM II teams had problems with the End User category since it represents another view of the same individuals - everyone is an 'end user.'
5171. 10    Note that the Todd model mixed functions and level in the Audience Category.
5172. 11    Held at Baltimore, May 1993.
5173. 12    The 'Other' category was often referred to as the unknown god . This is from the Classic Greek tradition of offering the first toast at the party to the unknown gods. The theory here was that if there were a god they had not yet identified, they would not insult him/her.  Several others have been proposed and may be added in the future.
5174. 13     McCumber, John, "Information Systems Security: A Comprehensive Model",  Proceedings of the 14th National Computer Security Conference, National Computer Security Center, p334, October 1991.
5175. 14    McCumber, John, "Application of the comprehensive INFOSEC Model: Mapping the Canadian Criteria for Systems Certification, Unpublished Manuscript, February 1993.
5176. 15    Canadian Systems Security Center, The Canadian Trusted Computer Product Evaluation Criteria, Draft Version 3.0e, April 1992.
5177. 16    Computer Security Modules, Edited by Corey D. Schou, Center for Decision Support, Idaho State University, Pocatello, Idaho.
5178.     
5179.  
5180.     
5181.  
5182.         
5183.  
5184.     
5185.  
5186.     
5187.  
5188.     
5189.  
5190.         
5191.  
5192.     
5193.  
5194.     
5195.  
5196.     
5197.  
5198.     
5199.  
5200.     
5201.  
5202.     
5203.  
5204.     
5205.  
5206.     
5207.  
5208.         
5209.  
5210.     
5211.  
5212.         
5213.  
5214.     
5215.  
5216.     
5217.  
5218.     
5219.  
5220.     
5221.  
5222.  
5223.  
5224.  
5225.  
5226.  
5227.  
5228.  
5229.     
5230.  
5231.  
5232.  
5233.  
5234.  
5235.  
5236.  
5237.  
5238.