home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Standards 1994 January / InfoMagic Standards - January 1994.iso / misc / fips / 500_171.txt < prev   
Internet Message Format  |  1990-04-11  |  16KB
  1. From brian@ucsd.Edu Thu Apr 12 19:06:59 1990
  2. From: brian@ucsd.Edu (Brian Kantor)
  3. Newsgroups: comp.doc
  4. Subject: FIPS_500_171.TXT.1
  5. Date: 10 Apr 90 03:24:37 GMT
  6. Distribution: usa
  7. Organization: The Avant-Garde of the Now, Ltd.
  8.  
  9. Computer User's Guide to the Protection of Information 
  10. Resources 
  11.   
  12. National Institute of Standards and Technology 
  13. The National Institute of Standards and Technology (NIST) is
  14. responsible or developing standards, providing technical
  15. assistance, and conducting research for computers and related
  16. systems. These activities provide technical support to government
  17. and industry in the effective, safe, and economical use of
  18. computers. With the passage of the Computer Security 
  19. Act of 1987 (P.L. 100-235), NIST's activities also include the 
  20. development of standards and guidelines needed to assure the
  21. cost-effective security and privacy of sensitive information in
  22. Federal computer systems.  This guide is just one of three
  23. brochures designed for a specific audience.  The "Executive Guide
  24. to the Protection of Information Resources," and the "Managers
  25. Guide to the Protection of Information Resources" complete the
  26. series.   
  27.   
  28. ACKNOWLEDGMENTS 
  29. This guide was written by Cheryl Helsing of Deloitte, Haskins &
  30. Sells in conjunction with Marianne Swanson and Mary Anne Todd of
  31. the National Institute of Standards and Technology. 
  32.  
  33. Introduction 
  34. Today's computer technology, with microcomputers and on-line
  35. access, has placed the power of the computer where it belongs, in
  36. YOUR hands. YOU, the users, develop computer applications and
  37. perform other data processing functions which previously were
  38. only done by the computer operations personnel. These advances
  39. have greatly improved our efficiency and effectiveness but, also
  40. present a serious challenge in achieving adequate data security.
  41.  
  42. While excellent progress has been made in computer technology,
  43. very little has been done to inform users of the vulnerability of
  44. data and information to such threats as unauthorized
  45. modification, disclosure, and destruction, either deliberate or
  46. accidental. This guide will make you aware of some of the
  47. undesirable things that can happen to data and will provide some
  48. practical solutions for reducing your risks to these threats.  
  49.  
  50. WHO IS RESPONSIBLE FOR PROTECTING DATA AND INFORMATION? 
  51. The statement that "security is everyone's responsibility" is
  52. absolutely true. Owners, developers, operators and users of
  53. information systems each has a personal responsibility to protect
  54. these resources. Functional managers have the responsibility to
  55. provide appropriate security controls for any information
  56. resources entrusted to them. These managers are personally
  57. responsible for understanding the sensitivity and criticality of
  58. their data and the extent of losses that could occur if the
  59. resources are not protected. Managers must ensure that all users
  60. of their data and systems are made aware of the practices and
  61. procedures used to protect the information resources. When you
  62. don't know what your security responsibilities are, ASK YOUR
  63. MANAGER OR SUPERVISOR. 
  64. WHAT IS "SENSITIVE" DATA? 
  65. All data is sensitive to some degree; exactly how sensitive is
  66. unique to each business environment. Within the Federal
  67. Government, personal information is sensitive to unauthorized
  68. disclosure under the Privacy Act of 1974.  In some cases, data is
  69. far more sensitive to accidental errors or omissions that
  70. compromise accuracy, integrity, or availability.  For example, in
  71. a Management Information System, inaccurate, incomplete, or
  72. obsolete information can result in erroneous management decisions
  73. which could cause serious damage and require time and money to
  74. rectify. Data and information which are critical to an agency's
  75. ability to perform its mission are sensitive to nonavailability.
  76.  
  77. Still other data are sensitive to fraudulent manipulation for
  78. personal gain. Systems that process electronic funds transfers,
  79. control inventories, issue checks, control accounts receivables
  80. and payables, etc., can be fraudulently exploited resulting in
  81. serious losses to an agency. 
  82. One way to determine the sensitivity of data is to ask the
  83. questions "What will it cost if the data is wrong? Manipulated
  84. for fraudulent purposes? Not available? Given to the wrong
  85. person?" If the damage is more than you can tolerate, then the
  86. data is sensitive and should have adequate security controls to
  87. prevent or lessen the potential loss. 
  88.  
  89. WHAT RISKS ARE ASSOCIATED WITH THE USE OF COMPUTERS? 
  90. Over the past several decades, computers have taken over
  91. virtually all of our major record-keeping functions. Recently,
  92. personal computers have made it cost-effective to automate many
  93. office functions. Computerization has many advantages and is here
  94. to stay; however, automated systems introduce new risks, and we
  95. should take steps to control those risks. 
  96. We should be concerned with the same risks that existed when
  97. manual procedures were used, as well as some new risks created by
  98. the unique nature of computers themselves. One risk introduced by
  99. computers is the concentration of tremendous amounts of data in
  100. one location. The greater the concentration, the greater the
  101. consequences of loss or damage. Another example is that computer
  102. users access information from remote terminals. We must be able
  103. to positively identify the user, as well as ensure that the user
  104. is only able to access information and functions that have been
  105. authorized.  Newspaper accounts of computer "hackers," computer
  106. virus attacks, and other types of intruders underscore the
  107. reality of the threat to government and commercial computer
  108. systems.  
  109.  
  110. HOW MUCH SECURITY IS ENOUGH? 
  111. No matter how many controls or safeguards we use, we can never
  112. achieve total security. We can, however, decrease the risk in
  113. proportion to the strength of the protective measures. The degree
  114. of protection is based on the value of the information; in other
  115. words, how serious would be the consequences if a certain type of
  116. information were to be wrongfully changed, disclosed, delayed, or
  117. destroyed? 
  118.  
  119. General Responsibilities 
  120. All Federal computer system users share certain general
  121. responsibilities for information resource protection. The
  122. following considerations should guide your actions. 
  123.  
  124. Treat information as you would any valuable asset. 
  125. You would not walk away from your desk leaving cash or other
  126. valuables unattended. You should take the same care to protect
  127. information. If you are not sure of the value or sensitivity of
  128. the various kinds of information you handle, ask your manager for
  129. guidance. 
  130.  
  131. Use government computer systems only for lawful and authorized
  132. purposes.  
  133. The computer systems you use in your daily work should be used
  134. only for authorized purposes and in a lawful manner. There are
  135. computer crime laws that prescribe criminal penalties for those
  136. who illegally access Federal computer systems or data.
  137. Additionally, the unauthorized use of Federal computer systems or
  138. use of authorized privileges for unauthorized purposes could
  139. result in disciplinary action. 
  140.  
  141. Observe policies and procedures established by agency
  142. management.  
  143. Specific requirements for the protection of information have been
  144. established by your agency. These requirements may be found in
  145. policy manuals, rules, or procedures. Ask your manager if you are
  146. unsure about your own responsibilities for protection of
  147. information. 
  148.  
  149. Recognize that you are accountable for your activities on
  150. computer systems. 
  151. After you receive authorization to use any Federal computer
  152. system, you become personally responsible and accountable for
  153. your activity on the system. Accordingly, your use should be
  154. restricted to those functions needed to carry out job
  155. responsibilities. 
  156.  
  157. Report unusual occurrences to your manager. 
  158. Many losses would be avoided if computer users would report any
  159. circumstances that seem unusual or irregular. Warning signals
  160. could include such things as unexplainable system activity that
  161. you did not perform, data that appears to be of questionable
  162. accuracy, and unexpected or incorrect processing results. If you
  163. should notice anything of a questionable nature, bring it to your
  164. manager's attention. 
  165.  
  166. Security and Control Guidelines 
  167. Some common-sense protective measures can reduce the risk of
  168. loss, damage, or disclosure of information. Following are the
  169. most important areas of information systems controls that assure
  170. that the system is properly used, resistant to disruptions, and
  171. reliable.  
  172.  
  173. Make certain no one can impersonate you. 
  174. If a password is used to verify your identity, this is the key to
  175. system security. Do not disclose your password to anyone, or
  176. allow anyone to observe your password as you enter it during the
  177. sign-on process. If you choose your own password, avoid selecting
  178. a password with any personal associations, or one that is very
  179. simple or short. The aim is to select a password that would be
  180. difficult to guess or derive. "1REDDOG" would be a better
  181. password than "DUKE." 
  182. If your system allows you to change your own password, do so
  183. regularly. Find out what your agency requires, and change
  184. passwords at least that frequently. Periodic password changes
  185. keep undetected intruders from continuously using the password of
  186. a legitimate user. 
  187.  
  188. After you are logged on, the computer will attribute all activity
  189. to your user id. Therefore, never leave your terminal without
  190. logging off -- even for a few minutes. Always log off or
  191. otherwise inactivate your terminal so no one could perform any
  192. activity under your user id when you are away from the area. 
  193.  
  194. Safeguard sensitive information from disclosure to others. 
  195. People often forget to lock up sensitive reports and computer
  196. media containing sensitive data when they leave their work areas.
  197. Information carelessly left on top of desks and in unlocked
  198. storage can be casually observed, or deliberately stolen. Every
  199. employee who works with sensitive information should have
  200. lockable space available for storage when information is not in
  201. use. If you aren't sure what information should be locked up or
  202. what locked storage is available, ask your manager. 
  203.  
  204. While working, be aware of the visibility of data on your
  205. personal computer or terminal display screen. You may need to
  206. reposition equipment or furniture to eliminate over-the-shoulder
  207. viewing. Be especially careful near windows and in public areas.
  208. Label all sensitive diskettes and other computer media to alert
  209. other employees of the need to be especially careful. When no
  210. longer needed, sensitive information should be deleted or
  211. discarded in such a way that unauthorized individuals cannot
  212. recover the data. Printed reports should be finely shredded,
  213. while data on magnetic media should be overwritten. Files that
  214. are merely deleted are not really erased and can still be
  215. recovered. 
  216.  
  217. Install physical security devices or software on personal
  218. computers.  
  219. The value and popularity of personal computers make theft a big
  220. problem, especially in low-security office areas. Relatively
  221. inexpensive hardware devices greatly reduce the risk of equipment
  222. loss. Such devices involve lock-down cables or enclosures that
  223. attach equipment to furniture. Another approach is to place
  224. equipment in lockable cabinets. 
  225. When data is stored on a hard disk, take some steps to keep
  226. unauthorized individuals from accessing that data. A power lock
  227. device only allows key-holders to turn on power to the personal
  228. computer. Where there is a need to segregate information between
  229. multiple authorized users of a personal computer, additional
  230. security in the form of software is probably needed. Specific
  231. files could be encrypted to make them unintelligible to
  232. unauthorized staff, or access control software can divide storage
  233. space among authorized users, restricting each user to their own
  234. files. 
  235.  
  236. Avoid costly disruptions caused by data or hardware loss. 
  237. Disruptions and delays are expensive. No one enjoys working
  238. frantically to re-enter work, do the same job twice, or fix
  239. problems while new work piles up. Most disruptions can be
  240. prevented, and the impact of disruptions can be minimized by
  241. advance planning. Proper environmental conditions and power
  242. supplies minimize equipment outages and information loss. Many
  243. electrical circuits in office areas do not constitute an adequate
  244. power source, so dedicated circuits for computer systems should
  245. be considered. Make certain that your surroundings meet the
  246. essential requirements for correct equipment operation. Cover
  247. equipment when not in use to protect it from dust, water leaks,
  248. and other hazards. 
  249.  
  250. For protection from accidental or deliberate destruction of data,
  251. regular data backups are essential. Complete system backups
  252. should be taken at intervals determined by how quickly
  253. information changes or by the volume of transactions. Backups
  254. should be stored in another location, to guard against the
  255. possibility of original and  backup copies being destroyed by the
  256. same fire or other disaster. 
  257.  
  258. Maintain the authorized hardware/software configuration. 
  259. Some organizations have been affected by computer "viruses"
  260. acquired through seemingly useful or innocent software obtained
  261. >from public access bulletin boards or other sources; others have
  262. been liable for software illegally copied by employees. The
  263. installation of unauthorized hardware can cause damage,
  264. invalidate warranties, or have other negative consequences.
  265. Install only hardware or software that has been acquired through
  266. normal acquisition procedures and comply with all software
  267. licensing agreement requirements.  
  268.  
  269. SUMMARY 
  270. Ultimately, computer security is the user's responsibility.  You,
  271. the user, must be alert to possible breaches in security and
  272. adhere to the security regulations that have been established
  273. within your agency. The security practices listed are not
  274. inclusive, but rather designed to remind you and raise your
  275. awareness towards securing your information resources: 
  276.  
  277. PROTECT YOUR EQUIPMENT 
  278.  Keep it in a secure environment 
  279.  Keep food, drink, and cigarettes AWAY from it 
  280.  Know where the fire suppression equipment is located and know
  281. how to use it 
  282.  
  283. PROTECT YOUR AREA 
  284.  Keep unauthorized people AWAY from your equipment and data 
  285.  Challenge strangers in your area 
  286.  
  287. PROTECT YOUR PASSWORD 
  288.  Never write it down or give it to anyone 
  289.  Don't use names, numbers or dates which are personally
  290. identified with you 
  291.  Change it often, but change it immediately if you think it has
  292. been compromised 
  293.  
  294. PROTECT YOUR FILES 
  295.  Don't allow unauthorized access to your files and data 
  296.  NEVER leave your equipment unattended with your password
  297. activated - SIGN OFF! 
  298.  
  299. PROTECT AGAINST VIRUSES 
  300.  Don't use unauthorized software 
  301.  Back up your files before implementing ANY new software 
  302.  
  303. LOCK  UP STORAGE MEDIA CONTAINING SENSITIVE DATA 
  304.  If the data or information is sensitive or critical to your
  305. operation, lock it up!   
  306.  
  307. BACK UP YOUR DATA 
  308.  Keep duplicates of your sensitive data in a safe place, out of
  309. your immediate area 
  310.  Back it up as often as necessary 
  311.  
  312. REPORT SECURITY VIOLATIONS 
  313.  Tell your manager if you see any unauthorized changes to your
  314. data  
  315.  Immediately report any loss of data or programs, whether
  316. automated or hard copy  
  317.  
  318. For Additional Information 
  319. National Institute of Standards and Technology 
  320. Computer Security Program Office
  321. A-216 Technology
  322. Gaithersburg, MD 20899
  323. (301) 975-5200 
  324.   
  325. For further information on the management of information
  326. resources, NIST publishes Federal Information Processing
  327. Standards Publications (FIPS PUBS).  These publications deal with
  328. many aspects of computer security, including password usage, data
  329. encryption, ADP risk management and contingency planning, and
  330. computer system security certification and accreditation.  A list
  331. of current publications is available from: 
  332.  
  333. Standards Processing Coordinator (ADP)
  334. National Computer Systems Laboratory
  335. National Institute of Standards and Technology
  336. Technology Building, B-64
  337. Gaithersburg, MD  20899
  338. Phone:   (301)  975-2817 
  339.  
  340.