home *** CD-ROM | disk | FTP | other *** search

---

/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / misc / fips / 500_170.txt

< prev

next >

Wrap

Internet Message Format  |  1990-04-11  |  24KB

---

1. From brian@ucsd.Edu Thu Apr 12 19:06:42 1990
2. From: brian@ucsd.Edu (Brian Kantor)
3. Newsgroups: comp.doc
4. Subject: FIPS_500_170.TXT.1
5. Date: 10 Apr 90 03:24:37 GMT
6. Distribution: usa
7. Organization: The Avant-Garde of the Now, Ltd.
8.  
9. Management Guide to the Protection of Information 
10. Resources 
11.   
12. National Institute of Standards and Technology 
13. The National Institute of Standards and Technology (NIST), is
14. responsible for developing standards, providing technical
15. assistance, and conducting research for computers and related
16. systems.  These activities provide technical support to
17. government and industry in the effective, safe, and 
18. economical use of computers.  With the passage of the Computer
19. Security Act of 1987 (P.L. 100-235), NIST's activities also
20. include the development of standards and guidelines needed to
21. assure the cost-effective security and privacy of sensitive
22. information in Federal computer systems.  This guide represents
23. one activity towards the protection and management of sensitive
24. information resources. 
25.   
26. Acknowledgments 
27. This guide was written by Cheryl Helsing of Deloitte, Haskins &
28. Sells in conjunction with Marianne Swanson and Mary Anne Todd,
29. National Institute of Standards and Technology.  
30.  
31. Executive Summary 
32. Today computers are integral to all aspects of operations within
33. an organization. As Federal agencies are becoming critically
34. dependent upon computer information systems to carry out their
35. missions, the agency executives (policy makers) are recognizing
36. that computers and computer-related problems must be understood
37. and managed, the same as any other resource. They are beginning
38. to understand the importance of setting policies, goals, and
39. standards for protection of data, information, and computer
40. resources, and are committing resources for information security
41. programs. They are also learning that primary responsibility for
42. data security must rest with the managers of the functional areas
43. supported by the data.  
44.  
45. All managers who use any type of automated information resource
46. system must become familiar with their agency's policies and
47. procedures for protecting the information which is processed and
48. stored within them. Adequately secure systems deter, prevent, or
49. detect unauthorized disclosure, modification, or use of
50. information.  Agency information requires protection from
51. intruders, as well as from employees with authorized computer
52. access privileges who attempt to perform unauthorized actions.
53. Protection is achieved not only by technical, physical and
54. personnel safeguards, but also by clearly articulating and
55. implementing agency policy regarding authorized system use to
56. information users and processing personnel at all levels.  This
57. guide is one of three brochures that have been designed for a
58. specific audience.  The "Executive Guide to the Protection of
59. Information Resources" and the "Computer User's Guide to the
60. Protection of Information Resources" complete the series. 
61.  
62. Table of Contents 
63.   
64.  Executive Summary    iv 
65.  Introduction    1 
66.  Purpose of Guide 1 
67.  The Risks   1 
68.  Responsibilities 2 
69.  Information Systems Development     5 
70.  Control Decisions     5 
71.  Security Principles   5 
72.  Access Decisions  7 
73.  Systems Development Process     7 
74.  Computer Facility Management   9 
75.  Physical Security     9 
76.  Data Security    11 
77.  Monitoring and Review  11 
78.  Personnel Management 13 
79.  Personnel Security    13 
80.  Training    14 
81.  For Additional Information     15 
82.   
83.  Introduction 
84.  
85.  Purpose of this Guide 
86.  This guide introduces information systems security concerns and
87. outlines the issues that must be addressed by all agency managers
88. in meeting their responsibilities to protect information systems
89. within their organizations. It describes essential components of
90. an effective information resource protection process that applies
91. to a stand alone personal computer or to a large data processing
92. facility.  
93.  
94. The Risks 
95. Effort is required by every Federal agency to safeguard
96. information resources and to reduce risks to a prudent level. 
97. The spread of computing power to individual employees via
98. personal computers, local-area networks, and distributed
99. processing has drastically changed the way we manage and control
100. information resources. Internal controls and control points that
101. were present in the past when we were dealing with manual or
102. batch processes have not been established in many of today's
103. automated systems. Reliance upon inadequately controlled computer
104. systems can have serious consequences, including: 
105.  
106. Inability or impairment of the agency's ability to perform its
107. mission 
108.  
109. Inability to provide needed services to the public 
110.  
111. Waste, loss, misuse, or misappropriation of funds 
112.  
113. Loss of credibility or embarrassment to an agency 
114.  
115. To avoid these consequences, a broad set of information security
116. issues must be effectively and comprehensively addressed. 
117. Responsibilities 
118. All functional managers have a responsibility to implement the
119. policies and goals established by executive management for
120. protection of automated information resources (data, processes,
121. facilities, equipment, personnel, and information). Managers in
122. all areas of an organization are clearly accountable for the
123. protection of any of these resources assigned to them to enable
124. them to perform their duties. They are responsible for
125. developing, administering, monitoring, and enforcing internal
126. controls, including security controls, within their assigned
127. areas of authority. Each manager's specific responsibilities will
128. vary, depending on the role that manager has with regard to
129. computer systems.  
130.  
131. Portions of this document provide more detailed information on
132. the respective security responsibilities of managers of computer
133. resources, managers responsible for information systems
134. applications and the personnel security issues involved. 
135. However, all agency management must strive to: 
136.  
137. Achieve Cost-Effective Security 
138. The dollars spent for security measures to control or contain
139. losses should never be more than the projected dollar loss if
140. something adverse happened to the information resource.
141. Cost-effective security results when reduction in risk through
142. implementation of safeguards is balanced with costs. The greater
143. the value of information processed, or the more severe the
144. consequences if something  happens to it, the greater the need
145. for control measures to protect it. 
146. The person who can best determine the value or importance of
147. data is the functional manager who is responsible for the data.
148. For example, the manager responsible for the agency's budget
149. program is the one who should establish requirements for the
150. protection of the automated data which supports the program. This
151. manager knows better than anyone else in the organization what
152. the impact will be if the data is inaccurate or unavailable.
153. Additionally, this manager usually is the supervisor of most of
154. the users of the data. 
155.  
156. It is important that these trade-offs of cost versus risk
157. reduction be explicitly considered, and that management
158. understand the degree of risk remaining after selected controls
159. are implemented. 
160.  
161. Assure Operational Continuity 
162. With ever-increasing demands for timely information and greater
163. volumes of information being processed, the threat of information
164. system disruption is a very serious one.  In some cases,
165. interruptions of only a few hours are unacceptable.  The impact
166. due to inability to process data should be assessed, and actions
167. should be taken to assure availability of those systems
168. considered essential to agency operation. Functional management
169. must identify critical computer applications and develop
170. contingency plans so that the probability of loss of data
171. processing and telecommunications support is minimized. 
172.  
173. Maintain Integrity 
174. Integrity of information means you can trust the data and the
175. processes that manipulate it. Not only does this mean that errors
176. and omissions are minimized, but also that the information system
177. is protected from deliberate actions to wrongfully change the
178. data. Information can be said to have integrity when it
179. corresponds to the expectations and assumptions of the users. 
180.  
181. Assure Confidentiality 
182. Confidentiality of sensitive data is often, but not always, a
183. requirement of agency systems. Privacy requirements for personal
184. information is dictated by statute, while confidentiality of
185. other agency information is determined by the nature of that
186. information, e.g., information submitted by bidders in
187. procurement actions. The impact of wrongful disclosure must be
188. considered in understanding confidentiality requirements. 
189.  
190. Comply with Applicable Laws and Regulations 
191. As risks and vulnerabilities associated with information systems
192. become better understood, the body of law and regulations
193. compelling positive action to protect information resources
194. grows.  OMB Circular No. A-130, "Management of Federal
195. Information Resources" and Public Law 100-235, "Computer Security
196. Act of 1987" are two documents where the knowledge of these
197. regulations and laws provide a baseline for an information
198. resource security program. 
199.  
200. Information Systems Development 
201. This section describes the protective measures that should be
202. included as part of the design and development of information
203. processing application systems.  The functional manager that is
204. responsible for and will use the information contained in the
205. system, must ensure that security measures have been included and
206. are adequate.  This includes applications designed for personal
207. computers as well as large mainframes.   
208.  
209. Control Decisions 
210. The official responsible for the agency function served by the
211. automated information system has a critical role in making
212. decisions regarding security and control. In the past, risk was
213. often unconsciously accepted when such individuals assumed the
214. computer facility operators were taking care of security. In
215. fact, there are decisions to be made and security elements to be
216. provided that cannot be delegated to the operator of the system. 
217. In many cases, the user or manager develops the application and
218. operates solely. 
219.  
220. The cost of control must be balanced with system efficiency and
221. usability issues. Risk must be evaluated and cost-effective
222. controls selected to provide a prudent level of control while
223. maximizing productivity. Controls are often closely connected
224. with the system function, and cannot be effectively designed
225. without significant understanding of the process being automated.
226.  
227. Security Principles 
228. There are some common security attributes that should be present
229. in any system that processes valuable personal or sensitive
230. information. System designs should include mechanisms to enforce
231. the following security attributes. 
232.  
233. Identification and Authentication of Users 
234. Each user of a computer system should have a unique
235. identification on the system, such as an account number or other
236. user identification code. There must also be a means of verifying
237. that the individual claiming that identity (e.g., by typing in
238. that identifying code at a terminal) is really the authorized
239. individual and not an imposter. The most common means of
240. authentication is by a secret password, known only to the
241. authorized user. 
242.  
243. Authorization Capability Enforcing the Principle of Least
244. Possible Privilege 
245. Beyond ensuring that only authorized individuals can access the
246. system, it is also necessary to limit the users access to
247. information and transaction capabilities. Each person should be
248. limited to only the information and transaction authority that is
249. required by their job responsibilities. This concept, known as
250. the principle of least possible privilege, is a long-standing
251. control practice. There should be a way to easily assign each
252. user just the specific access authorities needed. 
253.  
254. Individual Accountability 
255. >From both a control and legal point of view, it is necessary to
256. maintain records of the activities performed by each computer
257. user. The requirements for automated audit trails should be
258. developed when a system is designed. The information to be
259. recorded depends on what is significant about each particular
260. system. To be able to hold individuals accountable for their
261. actions, there must be a positive means of uniquely identifying
262. each computer user and a routinely maintained record of each
263. user's activities. 
264.  
265. Audit Mechanisms 
266. Audit mechanisms detect unusual events and bring them to the
267. attention of management. This commonly occurs by violation
268. reporting or by an immediate warning to the computer system
269. operator. The type of alarm generated depends on the seriousness
270. of the event. 
271.  
272. A common technique to detect access attempts by unauthorized
273. individuals is to count attempts. The security monitoring
274. functions of the system can automatically keep track of
275. unsuccessful attempts to gain access and generate an alarm if the
276. attempts reach an unacceptable number. 
277.  
278. Performance Assurance 
279. A basic design consideration for any information system should
280. be the ability to verify that the system is functioning as
281. intended. Systems that are developed without such design
282. considerations are often very difficult to independently audit or
283. review, leading to the possibility of unintended results or
284. inaccurate processing. 
285.  
286. Recoverability 
287. Because Federal agencies can potentially be heavily dependent on
288. a computer system, an important design consideration is the
289. ability to easily recover from troublesome events, whether minor
290. problems or major disruptions of the system. From a design point
291. of view, systems should be designed to easily recover from minor
292. problems, and to be either transportable to another backup
293. computer system or replaced by manual processes in case of major
294. disruption or loss of computer facility. 
295.  
296. Access Decisions 
297. Once the automated system is ready to use, decisions must be
298. made regarding access to the system and the information it
299. contains. For example, many individuals require the ability to
300. access and view data, but not the ability to change or delete
301. data. Even when computer systems have been designed to provide
302. the ability to narrowly designate access authorities, a
303. knowledgeable and responsible official must actually make those
304. access decisions. The care that is taken in this process is a
305. major determining factor of the level of security and control
306. present in the system. If sensitive data is being transmitted
307. over unprotected lines, it can be intercepted or passive
308. eavesdropping can occur.  Encrypting the files will make the data
309. unintelligible and port protection devices will protect the files
310. >from unauthorized access, if warranted. 
311.  
312. Systems Development Process 
313. All information systems software should be developed in a
314. controlled and systematic manner according to agency standards.
315. The quality and efficiency of the data processed, and the
316. possible reconfiguration of the system can all be affected by an
317. inadequate development process.  The risk of security exposures
318. and vulnerabilities is greatly reduced when the systems
319. development process is itself controlled. 
320.  
321. Computer Facility Management 
322. Functional managers play a critical role in assuring that agency
323. information resources are appropriately safeguarded. This section
324. describes the protective measures that should be incorporated
325. into the ongoing management of information resource processing
326. facilities.  As defined in OMB Circular No. A-130, "Management of
327. Federal Information Resources,"  the term "information technology
328. facility" means an organizationally defined set of personnel,
329. hardware, software, and physical facilities, a primary function
330. of which is the operation of information technology.  This
331. section, therefore applies to any manager who houses a personal
332. computer, mainframe or any other form of office system or
333. automated equipment. 
334.  
335. Physical Security 
336. Information cannot be appropriately protected unless the
337. facilities that house the equipment are properly protected from
338. physical threats and hazards. The major areas of concern are
339. described below. 
340.  
341. Environmental Conditions 
342. For many types of computer equipment, strict environmental
343. conditions must be maintained. Manufacturer's specifications
344. should be observed for temperature, humidity, and electrical
345. power requirements. 
346.  
347. Control of Media 
348. The media upon which information is stored should be carefully
349. controlled. Transportable media such as tapes and cartridges
350. should be kept in secure locations, and accurate records kept of
351. the location and disposition of each. In addition, media from an
352. external source should be subject to a check-in process to ensure
353. it is from an authorized source. 
354.  
355. Control of Physical Hazards 
356. Each area should be surveyed for potential physical hazards.
357. Fire and water are two of the most damaging forces with regard to
358. computer systems. Opportunities for loss should be minimized by
359. an effective fire detection and suppression mechanism, and
360. planning reduces the danger of leaks or flooding. Other physical
361. controls include reducing the visibility of the equipment and
362. strictly limiting access to the area or equipment. 
363.  
364. Contingency Planning 
365. Although risks can be minimized, they cannot be eliminated. When
366. reliance upon a computer facility or application is substantial,
367. some type of contingency plan should be devised to allow critical
368. systems to be recovered following a major disaster, such as a
369. fire. There are a number of alternative approaches that should be
370. evaluated to most cost-effectively meet the agency's need for
371. continuity of service. 
372.  
373. Configuration Management 
374. Risk can be introduced through unofficial and unauthorized
375. hardware or software. Another key component of information
376. resource management is ensuring only authorized hardware and
377. software are being utilized. There are several control issues to
378. be addressed. 
379.  
380. Maintaining Accurate Records 
381. Records of hardware/software inventories, configurations, and
382. locations should be maintained and kept up-to-date. 
383.  
384. Complying with Terms of Software Licenses 
385. Especially with microcomputer software, illegal copying and
386. other uses in conflict with licensing agreements are concerns.
387. The use of software subject to licensing agreements must be
388. monitored to ensure it is used according to the terms of the
389. agreement. 
390.  
391. Protecting Against Malicious Software and Hardware 
392. The recent occurrences of destructive computer "viruses" point
393. to the need to ensure that agencies do not allow unauthorized
394. software to be introduced to their computer environments.
395. Unauthorized hardware can also contain hidden vulnerabilities.
396. Management should adopt a strong policy against unauthorized
397. hardware/software, inform personnel about the risks and
398. consequences of unauthorized additions to computer systems, and
399. develop a monitoring process to detect violations of the policy.
400.  
401. Data Security  
402. Management must ensure that appropriate security mechanisms are
403. in place that allow responsible officials to designate access to
404. data according to individual computer users' specific needs.
405. Security mechanisms should be sufficient to implement individual
406. authentication of system users, allow authorization to specific
407. information and transaction authorities, maintain audit trails as
408. specified by the responsible official, and encrypt sensitive
409. files if required by user management. 
410.  
411. Monitoring and Review 
412. A final aspect of information resource protection to be
413. considered is the need for ongoing management monitoring and
414. review. To be effective,  a security program must be a continuous
415. effort. Ideally, ongoing processes should be adapted to include
416. information protection checkpoints and reviews. Information
417. resource protection should be a key consideration in all major
418. computer system initiatives. 
419.  
420. Earlier, the need for system audit trails was discussed. Those
421. audit trails are useful only if management regularly reviews
422. exception items or unusual activities. Irregularities should be
423. researched and action taken when merited. Similarly, all
424. information-related losses and incidents should be investigated.
425.  
426.  A positive benefit of an effective monitoring process is an
427. increased understanding of the degree of information-related risk
428. in agency operations. Without an ongoing feedback process,
429. management may unknowingly accept too much risk. Prudent
430. decisions about trade-offs between efficiency and control can
431. only be made with a clear understanding of the degree of inherent
432. risk. Every manager should ask questions and periodically review
433. operations to judge whether changes in the environment have
434. introduced new risk, and to ensure that controls are working
435. effectively. 
436.  
437. Personnel Management 
438. Managers must be aware that information security is more a
439. people issue than a technical issue. Personnel are a vital link
440. in the protection of information resources, as information is
441. gathered by people, entered into information resource systems by
442. people, and ultimately used by people. Security issues should be
443. addressed with regard to: 
444.  People who use computer systems and store information in the
445. course of their normal job responsibilities 
446.  People who design, program, test, and implement critical or
447. sensitive systems 
448.  People who operate computer facilities that process critical or
449. sensitive data 
450.  
451. Personnel Security 
452. >From the point of hire, individuals who will have routine access
453. to sensitive information resources should be subject to special
454. security procedures. More extensive background or reference
455. checks may be appropriate for such positions, and security
456. responsibilities should be explicitly covered in employee
457. orientations. Position descriptions and performance evaluations
458. should also explicitly reference unusual responsibilities
459. affecting the security of information resources. 
460.  
461. Individuals in sensitive positions should be subject to job
462. rotation, and work flow should be designed in such a way as to
463. provide as much separation of sensitive functions as possible.
464. Upon decision to terminate or notice of resignation, expedited
465. termination or rotation to less sensitive duties for the
466. remainder of employment is a reasonable precaution. 
467.  
468. Any Federal computer user who deliberately performs or attempts
469. to perform unauthorized activity should be subject to
470. disciplinary action, and such disciplinary action must be
471. uniformly applied throughout the agency. Any criminal activity
472. under Federal or state computer crime laws must be reported to
473. law enforcement authorities. 
474.  
475. Training 
476. Most information resource security problems involve people.
477. Problems can usually be identified in their earliest stages by
478. people who are attuned to the importance of information
479. protection issues. A strong training program will yield large
480. benefits in prevention and early detection of problems and
481. losses. To be most effective, training should be tailored to the
482. particular audience being addressed, e.g., executives and policy
483. makers; program and functional managers; IRM security and audit:
484. ADP management and operations; end users.  
485.  
486. Most employees want to do the right thing, if agency
487. expectations are clearly communicated. Internal policies can be
488. enforced only if staff have been made aware of their individual
489. responsibilities. All personnel who access agency computer
490. systems should be aware of their responsibilities under agency
491. policy, as well as obligations under the law. Disciplinary
492. actions and legal penalties should be communicated. 
493.  
494.  
495. For Additional Information 
496.   
497. National Institute Of Standards and Technology 
498. Computer Security Program Office, A-216 Technology 
499. Gaithersburg, MD 20899 
500. (301) 975-5200 
501.  
502. For further information on the management of information
503. resources, NIST publishes Federal Information Processing
504. Standards Publications (FIPS PUBS).  These publications deal with
505. many aspects of computer security, including password usage, data
506. encryption, ADP risk management and contingency planning, and
507. computer system security certification and accreditation.  A list
508. of current publications is available from: 
509. Standards Processing Coordinator (ADP)
510. National Computer Systems Laboratory
511. National Institute of Standards and Technology
512. Technology Building, B-64
513. Gaithersburg, MD  20899
514. Phone: (301)  975-2817 
515.  
516.