home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / inet / scc / fips_171.txt

< prev

next >

Wrap

Text File  |  1991-09-30  |  16KB  |  345 lines

---

1.         Computer User's Guide to the Protection of Information
2.         Resources 
3.   
4.  
5. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 
6.  
7. The National Institute of Standards and Technology (NIST) is
8. responsible or developing standards, providing technical assistance,
9. and conducting research for computers and related systems. These
10. activities provide technical support to government and industry in the
11. effective, safe, and economical use of computers. With the passage of
12. the Computer Security Act of 1987 (P.L. 100-235), NIST's activities
13. also include the development of standards and guidelines needed to
14. assure the cost-effective security and privacy of sensitive
15. information in Federal computer systems.  This guide is just one of
16. three brochures designed for a specific audience.  The "Executive
17. Guide to the Protection of Information Resources," and the "Managers
18. Guide to the Protection of Information Resources" complete the series.
19.   
20. ACKNOWLEDGMENTS 
21.  
22. This guide was written by Cheryl Helsing of Deloitte, Haskins & Sells
23. in conjunction with Marianne Swanson and Mary Anne Todd of the
24. National Institute of Standards and Technology.
25.  
26.  
27. INTRODUCTION 
28.  
29. Today's computer technology, with microcomputers and on-line access,
30. has placed the power of the computer where it belongs, in YOUR hands.
31. YOU, the users, develop computer applications and perform other data
32. processing functions which previously were only done by the computer
33. operations personnel. These advances have greatly improved our
34. efficiency and effectiveness but, also present a serious challenge in
35. achieving adequate data security.
36.  
37. While excellent progress has been made in computer technology, very
38. little has been done to inform users of the vulnerability of data and
39. information to such threats as unauthorized modification, disclosure,
40. and destruction, either deliberate or accidental. This guide will make
41. you aware of some of the undesirable things that can happen to data
42. and will provide some practical solutions for reducing your risks to
43. these threats.
44.  
45.  
46. WHO IS RESPONSIBLE FOR PROTECTING DATA AND INFORMATION? 
47.  
48. The statement that "security is everyone's responsibility" is
49. absolutely true. Owners, developers, operators and users of
50. information systems each has a personal responsibility to protect
51. these resources. Functional managers have the responsibility to
52. provide appropriate security controls for any information resources
53. entrusted to them. These managers are personally responsible for
54. understanding the sensitivity and criticality of their data and the
55. extent of losses that could occur if the resources are not protected.
56. Managers must ensure that all users of their data and systems are made
57. aware of the practices and procedures used to protect the information
58. resources. When you don't know what your security responsibilities
59. are, ASK YOUR MANAGER OR SUPERVISOR.
60.  
61.  
62. WHAT IS "SENSITIVE" DATA? 
63.  
64. All data is sensitive to some degree; exactly how sensitive is unique
65. to each business environment. Within the Federal Government, personal
66. information is sensitive to unauthorized disclosure under the Privacy
67. Act of 1974.  In some cases, data is far more sensitive to accidental
68. errors or omissions that compromise accuracy, integrity, or
69. availability.  For example, in a Management Information System,
70. inaccurate, incomplete, or obsolete information can result in
71. erroneous management decisions which could cause serious damage and
72. require time and money to rectify. Data and information which are
73. critical to an agency's ability to perform its mission are sensitive
74. to nonavailability.
75.  
76. Still other data are sensitive to fraudulent manipulation for personal
77. gain. Systems that process electronic funds transfers, control
78. inventories, issue checks, control accounts receivables and payables,
79. etc., can be fraudulently exploited resulting in serious losses to an
80. agency.  One way to determine the sensitivity of data is to ask the
81. questions "What will it cost if the data is wrong? Manipulated for
82. fraudulent purposes? Not available? Given to the wrong person?" If the
83. damage is more than you can tolerate, then the data is sensitive and
84. should have adequate security controls to prevent or lessen the
85. potential loss.
86.  
87.  
88. WHAT RISKS ARE ASSOCIATED WITH THE USE OF COMPUTERS? 
89.  
90. Over the past several decades, computers have taken over virtually all
91. of our major record-keeping functions. Recently, personal computers
92. have made it cost-effective to automate many office functions.
93. Computerization has many advantages and is here to stay; however,
94. automated systems introduce new risks, and we should take steps to
95. control those risks.  We should be concerned with the same risks that
96. existed when manual procedures were used, as well as some new risks
97. created by the unique nature of computers themselves. One risk
98. introduced by computers is the concentration of tremendous amounts of
99. data in one location. The greater the concentration, the greater the
100. consequences of loss or damage. Another example is that computer users
101. access information from remote terminals. We must be able to
102. positively identify the user, as well as ensure that the user is only
103. able to access information and functions that have been authorized.
104. Newspaper accounts of computer "hackers," computer virus attacks, and
105. other types of intruders underscore the reality of the threat to
106. government and commercial computer systems.
107.  
108.  
109. HOW MUCH SECURITY IS ENOUGH? 
110.  
111. No matter how many controls or safeguards we use, we can never achieve
112. total security. We can, however, decrease the risk in proportion to
113. the strength of the protective measures. The degree of protection is
114. based on the value of the information; in other words, how serious
115. would be the consequences if a certain type of information were to be
116. wrongfully changed, disclosed, delayed, or destroyed?
117.  
118.  
119. GENERAL RESPONSIBILITIES 
120.  
121. All Federal computer system users share certain general
122. responsibilities for information resource protection. The following
123. considerations should guide your actions.
124.  
125. Treat information as you would any valuable asset. 
126.  
127.   You would not walk away from your desk leaving cash or other
128.   valuable unattended. You should take the same care to protect
129.   information. If you are not sure of the value or sensitivity of the
130.   various kinds of information you handle, ask your manager for
131.   guidance.
132.  
133. Use government computer systems only for lawful and authorized
134. purposes.  
135.  
136.   The computer systems you use in your daily work should be used only
137.   for authorized purposes and in a lawful manner. There are computer
138.   crime laws that prescribe criminal penalties for those who illegally
139.   access Federal computer systems or data.  Additionally, the
140.   unauthorized use of Federal computer systems or use of authorized
141.   privileges for unauthorized purposes could result in disciplinary
142.   action.
143.  
144. Observe policies and procedures established by agency
145. management.  
146.  
147.   Specific requirements for the protection of information have been
148.   established by your agency. These requirements may be found in policy
149.   manuals, rules, or procedures. Ask your manager if you are unsure
150.   about your own responsibilities for protection of information.
151.  
152. Recognize that you are accountable for your activities on
153. computer systems. 
154.  
155.   After you receive authorization to use any Federal computer system,
156.   you become personally responsible and accountable for your activity on
157.   the system. Accordingly, your use should be restricted to those
158.   functions needed to carry out job responsibilities.
159.  
160. Report unusual occurrences to your manager. 
161.  
162.   Many losses would be avoided if computer users would report any
163.   circumstances that seem unusual or irregular. Warning signals could
164.   include such things as unexplainable system activity that you did not
165.   perform, data that appears to be of questionable accuracy, and
166.   unexpected or incorrect processing results. If you should notice
167.   anything of a questionable nature, bring it to your manager's
168.   attention.
169.  
170. Security and Control Guidelines 
171.  
172.   Some common-sense protective measures can reduce the risk of loss,
173.   damage, or disclosure of information. Following are the most important
174.   areas of information systems controls that assure that the system is
175.   properly used, resistant to disruptions, and reliable.
176.  
177. Make certain no one can impersonate you. 
178.  
179.   If a password is used to verify your identity, this is the key to
180.   system security. Do not disclose your password to anyone, or allow
181.   anyone to observe your password as you enter it during the sign-on
182.   process. If you choose your own password, avoid selecting a password
183.   with any personal associations, or one that is very simple or short.
184.   The aim is to select a password that would be difficult to guess or
185.   derive. "1REDDOG" would be a better password than "DUKE."
186.  
187.   If your system allows you to change your own password, do so
188.   regularly. Find out what your agency requires, and change passwords at
189.   least that frequently. Periodic password changes keep undetected
190.   intruders from continuously using the password of a legitimate user.
191.  
192.   After you are logged on, the computer will attribute all activity to
193.   your user id. Therefore, never leave your terminal without logging off
194.   -- even for a few minutes. Always log off or otherwise inactivate your
195.   terminal so no one could perform any activity under your user id when
196.   you are away from the area.
197.  
198.   Safeguard sensitive information from disclosure to others.  People
199.   often forget to lock up sensitive reports and computer media
200.   containing sensitive data when they leave their work areas.
201.   Information carelessly left on top of desks and in unlocked storage
202.   can be casually observed, or deliberately stolen. Every employee who
203.   works with sensitive information should have lockable space available
204.   for storage when information is not in use. If you aren't sure what
205.   information should be locked up or what locked storage is available,
206.   ask your manager.
207.  
208.   While working, be aware of the visibility of data on your personal
209.   computer or terminal display screen. You may need to reposition
210.   equipment or furniture to eliminate over-the-shoulder viewing. Be
211.   especially careful near windows and in public areas.  Label all
212.   sensitive diskettes and other computer media to alert other employees
213.   of the need to be especially careful. When no longer needed, sensitive
214.   information should be deleted or discarded in such a way that
215.   unauthorized individuals cannot recover the data. Printed reports
216.   should be finely shredded, while data on magnetic media should be
217.   overwritten. Files that are merely deleted are not really erased and
218.   can still be recovered.
219.  
220. Install physical security devices or software on personal
221. computers.  
222.  
223.   The value and popularity of personal computers make theft a big
224.   problem, especially in low-security office areas. Relatively
225.   inexpensive hardware devices greatly reduce the risk of equipment
226.   loss. Such devices involve lock-down cables or enclosures that attach
227.   equipment to furniture. Another approach is to place equipment in
228.   lockable cabinets.
229.  
230.   When data is stored on a hard disk, take some steps to keep
231.   unauthorized individuals from accessing that data. A power lock device
232.   only allows key-holders to turn on power to the personal computer.
233.   Where there is a need to segregate information between multiple
234.   authorized users of a personal computer, additional security in the
235.   form of software is probably needed. Specific files could be encrypted
236.   to make them unintelligible to unauthorized staff, or access control
237.   software can divide storage space among authorized users, restricting
238.   each user to their own files.
239.  
240.   Avoid costly disruptions caused by data or hardware loss.  Disruptions
241.   and delays are expensive. No one enjoys working frantically to
242.   re-enter work, do the same job twice, or fix problems while new work
243.   piles up. Most disruptions can be prevented, and the impact of
244.   disruptions can be minimized by advance planning. Proper environmental
245.   conditions and power supplies minimize equipment outages and
246.   information loss. Many electrical circuits in office areas do not
247.   constitute an adequate power source, so dedicated circuits for
248.   computer systems should be considered. Make certain that your
249.   surroundings meet the essential requirements for correct equipment
250.   operation. Cover equipment when not in use to protect it from dust,
251.   water leaks, and other hazards.
252.  
253.   For protection from accidental or deliberate destruction of data,
254.   regular data backups are essential. Complete system backups should be
255.   taken at intervals determined by how quickly information changes or by
256.   the volume of transactions. Backups should be stored in another
257.   location, to guard against the possibility of original and backup
258.   copies being destroyed by the same fire or other disaster.
259.  
260.   Maintain the authorized hardware/software configuration.  Some
261.   organizations have been affected by computer "viruses" acquired
262.   through seemingly useful or innocent software obtained from public
263.   access bulletin boards or other sources; others have been liable for
264.   software illegally copied by employees. The installation of
265.   unauthorized hardware can cause damage, invalidate warranties, or have
266.   other negative consequences.  Install only hardware or software that
267.   has been acquired through normal acquisition procedures and comply
268.   with all software licensing agreement requirements.
269.  
270.  
271. SUMMARY 
272.  
273. Ultimately, computer security is the user's responsibility.  You, the
274. user, must be alert to possible breaches in security and adhere to the
275. security regulations that have been established within your agency.
276. The security practices listed are not inclusive, but rather designed
277. to remind you and raise your awareness towards securing your
278. information resources:
279.  
280. PROTECT YOUR EQUIPMENT 
281.  Keep it in a secure environment 
282.  Keep food, drink, and cigarettes AWAY from it 
283.  Know where the fire suppression equipment is located and know
284.   how to use it 
285.  
286. PROTECT YOUR AREA 
287.  Keep unauthorized people AWAY from your equipment and data 
288.  Challenge strangers in your area 
289.  
290. PROTECT YOUR PASSWORD 
291.  Never write it down or give it to anyone 
292.  Don't use names, numbers or dates which are personally
293.   identified with you 
294.  Change it often, but change it immediately if you think it has
295.   been compromised 
296.  
297. PROTECT YOUR FILES 
298.  Don't allow unauthorized access to your files and data 
299.  NEVER leave your equipment unattended with your password
300.   activated - SIGN OFF! 
301.  
302. PROTECT AGAINST VIRUSES 
303.  Don't use unauthorized software 
304.  Back up your files before implementing ANY new software 
305.  
306. LOCK  UP STORAGE MEDIA CONTAINING SENSITIVE DATA 
307.  If the data or information is sensitive or critical to your
308.   operation, lock it up!   
309.  
310. BACK UP YOUR DATA 
311.  Keep duplicates of your sensitive data in a safe place, out of
312.   your immediate area 
313.  Back it up as often as necessary 
314.  
315. REPORT SECURITY VIOLATIONS 
316.  Tell your manager if you see any unauthorized changes to your
317.   data  
318.  Immediately report any loss of data or programs, whether
319.   automated or hard copy  
320.  
321. FOR ADDITIONAL INFORMATION 
322.  
323. National Institute of Standards and Technology 
324. Computer Security Program Office
325. A-216 Technology
326. Gaithersburg, MD 20899
327. (301) 975-5200 
328.  
329. For further information on the management of information resources,
330. NIST publishes Federal Information Processing Standards Publications
331. (FIPS PUBS).  These publications deal with many aspects of computer
332. security, including password usage, data encryption, ADP risk
333. management and contingency planning, and computer system security
334. certification and accreditation.  A list of current publications is
335. available from:
336.  
337.                 Standards Processing Coordinator (ADP)
338.                 National Computer Systems Laboratory
339.                 National Institute of Standards and Technology
340.                 Technology Building, B-64
341.                 Gaithersburg, MD  20899
342.                 Phone:   (301)  975-2817 
343.  
344.  
345.