home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / fips_169.txt

< prev

next >

Wrap

Text File  |  1991-09-30  |  24KB  |  506 lines

---

1.            Executive Guide to the Protection of Information
2.            Resources
3.  
4.  
5. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 
6.  
7. The National Institute of Standards and Technology (NIST), is
8. responsible for developing standards, providing technical assistance,
9. and conducting research for computers and related telecommunications
10. systems. These activities provide technical support to government and
11. industry in the effective, safe, and economical use of computers.
12. With the passage of the Computer Security Act of 1987 (P.L. 100-235),
13. NIST's activities also include the development of standards and
14. guidelines needed to assure the cost-effective security and privacy of
15. sensitive information in Federal computer systems.  This guide is just
16. one of three brochures designed for a specific audience.  The
17. "Managers Guide to the Protection of Information Resources" and the
18. "Computer User's Guide to the Protection of Information Resources"
19.  
20. complete the series.
21.  
22.  
23. ACKNOWLEDGMENTS 
24.  
25. This guide was written by Cheryl Helsing of Deloitte, Haskins & Sells
26. in conjunction with Marianne Swanson and Mary Anne Todd, National
27. Institute of Standards and Technology.
28.  
29.  
30.                           Table of Contents
31.  
32. INTRODUCTION .............................................  1 
33. EXECUTIVE RESPONSIBILITIES ...............................  3 
34. EXECUTIVE GOALS ..........................................  5  
35. INFORMATION PROTECTION PROGRAM ELEMENTS ..................  7 
36. INFORMATION PROTECTION PROGRAM IMPLEMENTATION ............ 11 
37. FOR ADDITIONAL INFORMATION ............................... 15 
38.  
39.  
40. INTRODUCTION 
41.  
42. Federal agencies are becoming increasingly dependent upon automated
43. information systems to carry out their missions.  While in the past,
44. executives have taken a hands-off approach in dealing with these
45. resources, essentially leaving the area to the computer technologist,
46. they are now recognizing that computers and computer-related problems
47. must be understood and managed, the same as any other resource.
48.  
49. The success of an information resources protection program depends on
50. the policy generated, and on the attitude of management toward
51. securing information on automated systems.  You, the policy maker, set
52. the tone and the emphasis on how important a role information security
53. will have within your agency.  Your primary responsibility is to set
54. the information resource security policy for the organization with the
55. objectives of reduced risk, compliance with laws and regulations and
56. assurance of operational continuity, information integrity, and
57. confidentiality.
58.  
59.  
60. Purpose of this Guide 
61.  
62. This guide is designed to help you, the policy maker, address a host
63. of questions regarding the protection and safety of computer systems
64. and data processed within your agency.  It introduces information
65. systems security concerns, outlines the management issues that must be
66. addressed by agency policies and programs, and describes essential
67. components of an effective implementation process.
68.  
69. The Risks 
70.  
71. The proliferation of personal computers, local-area networks, and
72. distributed processing has drastically changed the way we manage and
73. control information resources.  Internal controls and control points
74. that were present in the past when we were dealing with manual or
75. batch processes have not always been replaced with comparable controls
76. in many of today's automated systems.  Reliance upon inadequately
77. controlled information systems can have serious consequences,
78. including:
79.  
80.  o  Inability or impairment of the agency's ability to 
81.     perform its mission 
82.  
83.  o  Inability to provide needed services to the public 
84.  
85.  o  Waste, loss, misuse, or misappropriation of funds 
86.  
87.  o  Loss of credibility or embarrassment to an agency 
88.  
89. To avoid these consequences, a broad set of information security
90. issues must be addressed effectively and comprehensively. Towards this
91. end, executives should take a traditional risk management approach,
92. recognizing that risks are taken in the day-to-day management of an
93. organization, and that there are alternatives to consider in managing
94. these risks. Risk is accepted as part of doing business or is reduced
95. or eliminated by modifying operations or by employing control
96. mechanisms.
97.  
98.  
99. EXECUTIVE RESPONSIBILITIES 
100.  
101. Set the Security Policy of the Organization Protecting information
102. resources is an important goal for all organizations.  This goal is
103. met by establishing an information resource security program.  It will
104. require staff, funding and positive incentives to motivate employees
105. to participate in a program to protect these valuable assets.  This
106. information resource protection policy should state precisely:
107.  
108.  o  the value to the agency of data and information 
109.     resources and the need to preserve their integrity, availability,
110.     and confidentiality 
111.  
112.  o  the intent of the organization to protect the resources 
113.     from accidental or deliberate unauthorized disclosure, 
114.     modification, or destruction by employing cost-effective controls
115.  
116.  o  the assignment of responsibility for data security 
117.     throughout the organization 
118.  
119.  o  the requirement to provide computer security and 
120.     awareness training to all employees having access to information
121.     resources 
122.  
123.  o  the intent to hold employees personally accountable for 
124.     information resources entrusted to them 
125.  
126.  o  the requirement to monitor and assess data security via 
127.     internal and external audit procedures 
128.  
129.  o  the penalties for not adhering to the policy 
130.  
131.  
132. EXECUTIVE GOALS 
133.  
134. The policy established for securing information resources should meet
135. the basic goals of reducing the risk, complying with applicable laws
136. and regulations, and assuring operational continuity, integrity and
137. confidentiality.  This section briefly describes these objectives and
138. how they can be met.
139.  
140. Reduce Risk To An Acceptable Level 
141.  
142. The dollars spent for security measures to control or contain losses
143. should never be more than the projected dollar loss if something
144. adverse happened to the information resource.  Cost-effective security
145. results when reduction in risk is balanced with the cost of
146. implementing safeguards.  The greater the value of information
147. processed, or the more severe the consequences if something happens to
148. it, the greater the need for control measures to protect it.  It is
149. important that these trade-offs of cost versus risk reduction be
150. explicitly considered, and that executives understand the degree of
151. risk remaining after selected controls are implemented.
152.  
153. Assure Operational Continuity 
154.  
155. With ever-increasing demands for timely information and greater
156. volumes of information being processed, availability of essential
157. systems, networks, and data is a major protection issue.  In some
158. cases, service disruptions of just a few hours are unacceptable.
159. Agency reliance on essential computer systems requires that advance
160. planning be done to allow timely restoration of processing
161. capabilities in the event of severe service disruption. The impact due
162. to inability to process data should be assessed, and action taken to
163. assure availability of those systems considered essential to agency
164. operation.
165.  
166. Comply with Applicable Laws and Regulations 
167.  
168. As the pervasiveness of computer systems increases and the risks and
169. vulnerabilities associated with information systems become better
170. understood, the body of law and regulations compelling positive action
171. to protect information resources grows. OMB Circular No. A-130,
172. "Management of Federal Information Systems," and Public Law 100-235,
173. "Computer Security Act of 1987" are two documents where the knowledge
174. of these laws provide a baseline for an information resources security
175. program.
176.  
177. Assure Integrity and Confidentiality 
178.  
179. An important objective of an information resource management program
180. is to ensure that the information is accurate.  Integrity of
181. information means you can trust the data and the processes that
182. manipulate it.  A system has integrity when it provides sufficient
183. accuracy and completeness to meet the needs of the user(s).  It should
184. be properly designed to automate all functional requirements, include
185. appropriate accounting and integrity controls, and accommodate the
186. full range of potential conditions that might be encountered in its
187. operation.
188.  
189. Agency information should also be protected from intruders, as well as
190. from employees with authorized computer access privileges who attempt
191. to perform unauthorized actions.  Assured confidentiality of sensitive
192. data is often, but not always, a requirement of agency systems.
193. Privacy requirements for personal information are generally dictated
194. by statute, while protection requirements for other agency information
195. are a function of the nature of that information.  Determination of
196. requirements in the latter case is made by the official responsible
197. for that information.  The impact of wrongful disclosure should be
198. considered in understanding confidentiality requirements.
199.  
200.  
201. INFORMATION PROTECTION PROGRAM ELEMENTS 
202.  
203. Need for Policies and Procedures 
204.  
205. Successful execution of the responsibilities previously outlined
206. requires establishing agency policies and practices regarding
207. information protection.  The security policy directive facilitates
208. consistent protection of information resources.  Supporting procedures
209. are most effectively implemented with top management support, through
210. a program focused on areas of highest risk.  A compliance assessment
211. process ensures ongoing effectiveness of the information protection
212. program throughout the agency.
213.  
214. Scope 
215.  
216. Although the protection of automated information resources is
217. emphasized in this publication, protection requirements will usually
218. extend to information on all forms of media.  Agency programs should
219. apply safeguards to all information requiring protection, regardless
220. of its form or location.  Comprehensive information resource
221. protection procedures will address: accountability for information,
222. vulnerability assessment, data access, hardware/software control,
223. systems development, and operational controls.  Protection should be
224. afforded throughout the life cycle of information, from creation
225. through ultimate disposition.
226.  
227. Accountability for Information 
228.  
229. An effective information resource protection program identifies the
230. information used by the agency and assigns primary responsibility for
231. information protection to the managers of the respective functional
232. areas supported by the data.  These managers know the importance of
233. the data to the organization and are able to quantify the economic
234. consequences of undesirable happenings.  They are also able to detect
235. deficiencies in data and know definitively who must have access to the
236. data supporting their operations. A fundamental information protection
237. issue is assignment of accountability.  Information flows throughout
238. the organization and can be shared by many individuals.  This tends to
239. blur accountability and disperse decision-making regarding information
240. protection.  Accountability should be explicitly assigned for
241. determining and monitoring security for appropriate agency
242. information.
243.  
244. When security violations occur, management must be accountable for
245. responding and investigating.  Security violations should trigger a
246. re-evaluation of access authorizations, protection decisions, and
247. control techniques.  All apparent violations should be resolved; since
248. absolute protection will never be achieved, some losses are
249. inevitable.  It is important, however, that the degree of risk assumed
250. be commensurate with the sensitivity or importance of the information
251. resource to be protected.
252.  
253. Vulnerability Assessment 
254.  
255. A risk assessment program ensures management that periodic reviews of
256. information resources have considered the degree of vulnerability to
257. threats causing destruction, modification, disclosure, and delay of
258. information availability, in making protection decisions and
259. investments in safeguards.  The official responsible for a specific
260. information resource determines protection requirements.
261. Less-sensitive, less-essential information will require minimal
262. safeguards, while highly sensitive or critical information might merit
263. strict protective measures.  Assessment of vulnerability is essential
264. in specifying cost-effective safeguards; overprotection can be
265. needlessly costly and add unacceptable operational overhead.
266.  
267. Once cost-effective safeguards are selected, residual risk remains and
268. is accepted by management.  Risk status should be periodically
269. re-examined to identify new threats, vulnerabilities, or other changes
270. that affect the degree of risk that management has previously
271. accepted.
272.  
273. Data Access 
274.  
275. Access to information should be delegated according to the principles
276. of need-to-know and least possible privilege.  For a multi-user
277. application system, only individuals with authorized need to view or
278. use data are granted access authority, and they are allowed only the
279. minimum privileges needed to carry out their duties.  For personal
280. computers with one operator, data should be protected from
281. unauthorized viewing or use.  It is the individual's responsibility to
282. ensure that the data is secure.
283.  
284. Systems Development 
285.  
286. All information systems software should be developed in a controlled
287. and systematic manner according to agency standards.  Agency policy
288. should require that appropriate controls for accuracy, security, and
289. availability are identified during system design, approved by the
290. responsible official, and implemented.  Users who design their own
291. systems, whether on a personal computer or on a mainframe, must adhere
292. to the systems development requirements.
293.  
294. Systems should be thoroughly tested according to accepted standards
295. and moved into a secure production environment through a controlled
296. process.  Adequate documentation should be considered an integral part
297. of the information system and be completed before the system can be
298. considered ready for use.
299.  
300. Hardware/Software Configuration Control 
301.  
302. Protection of hardware and resources of computer systems and networks
303. greatly contributes to the overall level of control and protection of
304. information.  The information protection policies should provide
305. substantial direction concerning the management and control of
306. computer hardware and software.
307.  
308. Agency information should be protected from the potentially
309. destructive impact of unauthorized hardware and software.  For
310. example, software "viruses" have been inserted into computers through
311. games and apparently useful software acquired via public access
312. bulletin boards; viruses can spread from system to system before being
313. detected.  Also, unauthorized hardware additions to personal computers
314. can introduce unknown dial-in access paths.  Accurate records of
315. hardware/software inventory, configurations, and locations should be
316. maintained, and control mechanisms should provide assurance that
317. unauthorized changes have not occurred.
318.  
319. To avoid legal liability, no unauthorized copying of software should
320. be permitted.  Agencies should also address the issue of personal use
321. of Federal computer systems, giving employees specific direction about
322. allowable use and providing consistent enforcement.
323.  
324. Operational Controls 
325.  
326. Agency standards should clearly communicate minimum expected controls
327. to be present in all computer facilities, computer operations,
328. input/output handling, network management, technical support, and user
329. liaison.  More stringent controls would apply to those areas that
330. process very sensitive or critical information.
331.  
332. Protection of these areas would include: 
333.  
334.  o  Security management
335.  o  Physical security
336.  o  Security of system/application software and data
337.  o  Network security
338.  o  Contingency planning
339.  
340. The final section of this guide describes the organizational process
341. of developing, implementing, and managing the ongoing information
342. protection program.
343.  
344.  
345. INFORMATION PROTECTION PROGRAM IMPLEMENTATION 
346.  
347. Information Protection Management 
348.  
349. In most cases, agency executive management is not directly involved in
350. the details of achieving a controlled information processing
351. environment.  Instead, executive action should focus on effective
352. planning, implementation, and an ongoing review structure.  Usually,
353. an explicit group or organization is assigned specific responsibility
354. for providing day-to-day guidance and direction of this process.
355. Within this group an information security manager (ISM) should be
356. identified as a permanent focal point for information protection
357. issues within the agency.
358.  
359. The ISM must be thoroughly familiar with the agency mission,
360. organization, and operation.  The manager should have sufficient
361. authority to influence the organization and have access to agency
362. executives when issues require escalation.
363.  
364. Independence 
365.  
366. In determining the reporting relationship of the ISM, independence of
367. functional areas within the agency is desirable.  Plans and budget for
368. the ISM function should be approved by agency management, rather than
369. being part of any functional area budget.  This approach avoids
370. conflicts of interest and facilitates development and maintenance of a
371. comprehensive and consistent protection program that serves the needs
372. of agency management.
373.  
374. Degree of Centralization 
375.  
376. The desirability of centralized versus decentralized security is
377. heavily debated and largely depends on size, organizational structure,
378. and management approach at the individual agency.  A centralized
379. approach to security has the advantages of being directly responsive
380. to executive direction and specifically accountable for progress and
381. status.  A decentralized approach to security has the advantages of
382. being close to the functional area involved.  In the long term,
383. decentralization may provide better integration of security with other
384. entity functions.
385.  
386. An effective combined approach offers advantages.  A small dedicated
387. resource at the agency level can direct the information protection
388. program, while additional resources are utilized at the functional
389. area level to implement the program in each area.
390.  
391. Dedicated Staff 
392.  
393. The common practice of assigning responsibility for information
394. security to existing staff with other major responsibilities is often
395. unsuccessful.  At least one dedicated staff member is recommended at
396. the program management level.  The need for additional full-time
397. resources depends on the agency's computer environment.  The number of
398. information systems, their technical complexity, the degree of
399. networking, the importance of information processed, adequacy of
400. existing controls, and extent of agency dependence on information
401. systems affect the resources needed.
402.  
403. Implementation Stages 
404.  
405. Development of a comprehensive information protection program that is
406. practiced and observed widely throughout a Federal agency occurs in
407. stages and requires ongoing monitoring and maintenance to remain
408. viable.
409.  
410. First, organizational requirements for information protection are
411. identified.  Different agencies have varying levels of need for
412. security, and the information protection program should be structured
413. to most effectively meet those needs.
414.  
415. Next, organizational policies are developed that provide a security
416. architecture for agency operations, taking into consideration the
417. information protection program elements discussed in the previous
418. section of this guide.  The policies undergo normal review procedures,
419. then are approved by agency management for implementation.
420.  
421. Activities are then initiated to bring the agency into compliance with
422. the policies.  Depending on the degree of centralization, this might
423. require development of further plans and budgets within functional
424. entities of the agency to implement the necessary logical and physical
425. controls.
426.  
427. Training 
428.  
429. Training is a major activity in the implementation process.  Security
430. violations are the result of human action, and problems can usually be
431. identified in their earliest stages by people.  Developing and
432. maintaining personnel awareness of information security issues can
433. yield large benefits in prevention and early detection of problems and
434. losses.
435.  
436. Target audiences for this training are executives and policy makers,
437. program and functional managers, IRM security and audit personnel,
438. computer management and operations, and end users. Training can be
439. delivered through existing policy and procedures manuals, written
440. materials, presentations and classes, and audio-visual training
441. programs.
442.  
443. The training provided should create an awareness of risks and the
444. importance of safeguards, underscoring the specific responsibilities
445. of each of the individuals being trained.
446.  
447. Monitoring and Enforcement 
448.  
449. An ongoing monitoring and enforcement program assures continued
450. effectiveness of information protection measures.  Compliance may be
451. measured in a number of ways, including audits, management reviews or
452. self-assessments, surveys, and other informal indicators.  A
453. combination of monitoring mechanisms provides greater reliability of
454. results.
455.  
456. Variances from policy requirements should be accepted only in cases
457. where the responsible official has evaluated, documented, and accepted
458. the risk of noncompliance.  Enforcement of agency policies and
459. practices is important to the overall success of an information
460. protection program.  Inconsistent or lax enforcement quickly results
461. in deterioration of internal controls over information resources.
462.  
463. A positive benefit of an effective monitoring and enforcement process
464. is an increased understanding of the degree of information-related
465. risk in agency operations.  Without such a feedback process,
466. management unknowingly accepts too much risk.  An effective
467. information protection program allows the agency to continue to rely
468. upon and expand the use of information technology while maintaining an
469. acceptable level of risk.
470.  
471. Maintenance 
472.  
473. As agency initiatives and operations change, and as the computer
474. environment evolves, some elements of the information protection
475. program will require change as well.  Information protection cannot be
476. viewed as a project with a distinct end; rather, it is a process that
477. should be maintained to be realistic and useful to the agency.
478. Procedures for review and update of policies and other program
479. elements should be developed and followed.
480.  
481.  
482. FOR ADDITIONAL INFORMATION 
483.  
484. National Institute Of Standards and Technology
485. Computer Security Program Office
486. A-216 Technology
487. Gaithersburg, MD 20899
488. (301) 975-5200 
489.  
490. For further information on the management of information resources,
491. NIST publishes Federal Information Processing Standards Publications
492. (FIPS PUBS).  These publications deal with many aspects of computer
493. security, including password usage, data encryption, ADP risk
494. management and contingency planning, and computer system security
495. certification and accreditation.  A list of current publications is
496. available from:
497.  
498.                 Standards Processing Coordinator (ADP)
499.                 National Computer Systems Laboratory
500.                 National Institute of Standards and technology
501.                 Technology Building, B-64
502.                 Gaithersburg, MD 20899
503.                 Phone:   (301)  975-2817 
504.  
505.  
506.