home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / spwg / spwg-minutes-90dec.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  5KB  |  138 lines

---

1.  
2.  
3. CURRENT_MEETING_REPORT_
4.  
5.  
6. Reported by Richard Pethia/CERT
7.  
8. SPWG Minutes
9.  
10. The Security Policy Working Group (spwg) met to review the November 28,
11. 1990 working draft Internet Security Policy Recommendations and to
12. identify the next steps in moving the recommendations forward.
13.  
14. Review
15.  
16. There was considerable discussion on the purpose of the document and on
17. the ability of the IETF, the IAB, or any other organization to enforce
18. Internet security policy.  As stated in the document:
19.  
20. ``It is important to recognize that the voluntary nature of the Internet
21. system is both its strength and, perhaps, its most fragile aspect.
22. Rules of operation, like the rules of etiquette, are voluntary and,
23. largely, unenforceable, except where they happen to coincide with
24. national laws whose violation can lead to prosecution.''
25.  
26. ``A common set of rules for the successful and increasingly secure
27. operation of the Internet can, at best, be voluntary, since the laws of
28. various countries are not uniform regarding data networking.  Indeed,
29. the recommended Internet Security Policy outlined below can also only be
30. voluntary.  However, since joining the Internet is optional, it is also
31. fair to argue that the Internet Rules of Behavior are part of the
32. bargain for joining and that failure to observe, apart from any legal
33. infrastructure available, are grounds for sanctions.''
34.  
35. Recognizing this, and recognizing the need to state a purpose for the
36. document, it was decided that:
37.  
38.  
39.    o The recommended policy serves as an enabling document.  It acts to
40.      encourage development of local policy and encourage consistency
41.      across the policies of different organizations.
42.    o It is a tool to heighten awareness of security issues and
43.      encourages improvements in Internet security.
44.  
45.  
46. The policy recommendation elaborates on six main points, and contains a
47. set of appendices that provide additional, relevant information.  The
48. six main points are:
49.  
50.                                    1
51.  
52.  
53.  
54.  
55.  
56.  
57.   1. Users are individually responsible for understanding and respecting
58.      the security rules of the systems they are using.  Users are
59.      individually accountable for their own behavior.
60.   2. Site and network service providers are responsible for maintaining
61.      the security of the systems they operate.
62.   3. Vendors and system developers are responsible for providing systems
63.      which are sound and have adequate security controls.
64.   4. Users have responsibility to use available mechanisms and
65.      procedures for protecting their own data, and they also have
66.      responsibility for assisting in the protection of the systems they
67.      use.
68.   5. Users, service providers and hardware and software vendors are
69.      expected to cooperate in the provision of security.
70.   6. Technical improvements in Internet security protocols should be
71.      sought on a continuing basis.
72.  
73.  
74. It was agreed that these six points generally cover all the pertinent
75. issues, but there may need to be some rewording, to promote consistency
76. in interpretation.  Elaborations should be modified/expanded to better
77. deal with the financial and operational realities of many organizations
78. (e.g., provide a discussion of techniques a site can use to establish a
79. 24-hour security contact without increasing staff or significantly
80. increasing the budget).  Finally, it was suggested that the
81. recommendations be carefully reviewed to ensure they are not perceived
82. in a negative way (i.e., would not cause anyone to hesitate in
83. connecting to the Internet or cause existing sites to disconnect).
84.  
85. Next Steps
86.  
87. It was agreed that the next steps in advancing the recommendations
88. should be:
89.  
90.  
91.    o Revise the November 28, 1990 draft to incorporate review comments
92.      (targeted for completion before the end of January).
93.    o Disseminate for wider review and approval using standard IETF
94.      processes.
95.    o Deliver and present to selected audiences (e.g., regionals, sites,
96.      FARNET) for focused discussion and feedback.
97.    o Develop plan for packaging and broad dissemination (e.g., could be
98.      packaged along with acceptable use policy and distributed with new
99.      membership agreements.)
100.  
101.  
102.  
103.                                    2
104.  
105.  
106.  
107.  
108.  
109.  
110. Attendees
111.  
112. Ashok Agrawala           agrawala@cs.umd.edu
113. Vinton Cerf              vcerf@NRI.Reston.VA.US
114. Steve Crocker            crocker@tis.com
115. James Dray               dray@st1.ncsl.nist.gov
116. Fred Engel
117. Peter Ford               peter@lanl.gov
118. James Galvin             galvin@tis.com
119. Jack Hahn                hahn@umd5.umd.edu
120. Joel Jacobs              jdj@mitre.org
121. Dale Johnson             dsj@merit.edu
122. Darren Kinley            kinley@crim.ca
123. Mark Koro                koro@dockmaster.mil
124. William Kutz             Kutz@dockmaster.ncsc.mil
125. John Linn                linn@zendia.enet.dec.com
126. Daniel Long              long@bbn.com
127. Fred Ostapik             fred@nisc.sri.com
128. Richard Pethia           rdp@cert.sei.cmu.edu
129. Robert Reschly           reschly@brl.mil
130. Jeffrey Schiller         jis@mit.edu
131. Tim Seaver               tas@mcnc.org
132. Kannan Varadhan          kannan@oar.net
133. C. Philip Wood           cpw@lanl.gov
134.  
135.  
136.  
137.                                    3
138.