home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / ietf / spwg / spwg-minutes-90dec.txt < prev    next >
Encoding:
Text File  |  1993-02-17  |  5.0 KB  |  138 lines
  1.  
  2.  
  3. CURRENT_MEETING_REPORT_
  4.  
  5.  
  6. Reported by Richard Pethia/CERT
  7.  
  8. SPWG Minutes
  9.  
  10. The Security Policy Working Group (spwg) met to review the November 28,
  11. 1990 working draft Internet Security Policy Recommendations and to
  12. identify the next steps in moving the recommendations forward.
  13.  
  14. Review
  15.  
  16. There was considerable discussion on the purpose of the document and on
  17. the ability of the IETF, the IAB, or any other organization to enforce
  18. Internet security policy.  As stated in the document:
  19.  
  20. ``It is important to recognize that the voluntary nature of the Internet
  21. system is both its strength and, perhaps, its most fragile aspect.
  22. Rules of operation, like the rules of etiquette, are voluntary and,
  23. largely, unenforceable, except where they happen to coincide with
  24. national laws whose violation can lead to prosecution.''
  25.  
  26. ``A common set of rules for the successful and increasingly secure
  27. operation of the Internet can, at best, be voluntary, since the laws of
  28. various countries are not uniform regarding data networking.  Indeed,
  29. the recommended Internet Security Policy outlined below can also only be
  30. voluntary.  However, since joining the Internet is optional, it is also
  31. fair to argue that the Internet Rules of Behavior are part of the
  32. bargain for joining and that failure to observe, apart from any legal
  33. infrastructure available, are grounds for sanctions.''
  34.  
  35. Recognizing this, and recognizing the need to state a purpose for the
  36. document, it was decided that:
  37.  
  38.  
  39.    o The recommended policy serves as an enabling document.  It acts to
  40.      encourage development of local policy and encourage consistency
  41.      across the policies of different organizations.
  42.    o It is a tool to heighten awareness of security issues and
  43.      encourages improvements in Internet security.
  44.  
  45.  
  46. The policy recommendation elaborates on six main points, and contains a
  47. set of appendices that provide additional, relevant information.  The
  48. six main points are:
  49.  
  50.                                    1
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.   1. Users are individually responsible for understanding and respecting
  58.      the security rules of the systems they are using.  Users are
  59.      individually accountable for their own behavior.
  60.   2. Site and network service providers are responsible for maintaining
  61.      the security of the systems they operate.
  62.   3. Vendors and system developers are responsible for providing systems
  63.      which are sound and have adequate security controls.
  64.   4. Users have responsibility to use available mechanisms and
  65.      procedures for protecting their own data, and they also have
  66.      responsibility for assisting in the protection of the systems they
  67.      use.
  68.   5. Users, service providers and hardware and software vendors are
  69.      expected to cooperate in the provision of security.
  70.   6. Technical improvements in Internet security protocols should be
  71.      sought on a continuing basis.
  72.  
  73.  
  74. It was agreed that these six points generally cover all the pertinent
  75. issues, but there may need to be some rewording, to promote consistency
  76. in interpretation.  Elaborations should be modified/expanded to better
  77. deal with the financial and operational realities of many organizations
  78. (e.g., provide a discussion of techniques a site can use to establish a
  79. 24-hour security contact without increasing staff or significantly
  80. increasing the budget).  Finally, it was suggested that the
  81. recommendations be carefully reviewed to ensure they are not perceived
  82. in a negative way (i.e., would not cause anyone to hesitate in
  83. connecting to the Internet or cause existing sites to disconnect).
  84.  
  85. Next Steps
  86.  
  87. It was agreed that the next steps in advancing the recommendations
  88. should be:
  89.  
  90.  
  91.    o Revise the November 28, 1990 draft to incorporate review comments
  92.      (targeted for completion before the end of January).
  93.    o Disseminate for wider review and approval using standard IETF
  94.      processes.
  95.    o Deliver and present to selected audiences (e.g., regionals, sites,
  96.      FARNET) for focused discussion and feedback.
  97.    o Develop plan for packaging and broad dissemination (e.g., could be
  98.      packaged along with acceptable use policy and distributed with new
  99.      membership agreements.)
  100.  
  101.  
  102.  
  103.                                    2
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110. Attendees
  111.  
  112. Ashok Agrawala           agrawala@cs.umd.edu
  113. Vinton Cerf              vcerf@NRI.Reston.VA.US
  114. Steve Crocker            crocker@tis.com
  115. James Dray               dray@st1.ncsl.nist.gov
  116. Fred Engel
  117. Peter Ford               peter@lanl.gov
  118. James Galvin             galvin@tis.com
  119. Jack Hahn                hahn@umd5.umd.edu
  120. Joel Jacobs              jdj@mitre.org
  121. Dale Johnson             dsj@merit.edu
  122. Darren Kinley            kinley@crim.ca
  123. Mark Koro                koro@dockmaster.mil
  124. William Kutz             Kutz@dockmaster.ncsc.mil
  125. John Linn                linn@zendia.enet.dec.com
  126. Daniel Long              long@bbn.com
  127. Fred Ostapik             fred@nisc.sri.com
  128. Richard Pethia           rdp@cert.sei.cmu.edu
  129. Robert Reschly           reschly@brl.mil
  130. Jeffrey Schiller         jis@mit.edu
  131. Tim Seaver               tas@mcnc.org
  132. Kannan Varadhan          kannan@oar.net
  133. C. Philip Wood           cpw@lanl.gov
  134.  
  135.  
  136.  
  137.                                    3
  138.