home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / fips_500_169.txt < prev    next >
Encoding:
Text File  |  1991-09-30  |  22.6 KB  |  506 lines
  1.            Executive Guide to the Protection of Information
  2.            Resources
  3.  
  4.  
  5. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 
  6.  
  7. The National Institute of Standards and Technology (NIST), is
  8. responsible for developing standards, providing technical assistance,
  9. and conducting research for computers and related telecommunications
  10. systems. These activities provide technical support to government and
  11. industry in the effective, safe, and economical use of computers.
  12. With the passage of the Computer Security Act of 1987 (P.L. 100-235),
  13. NIST's activities also include the development of standards and
  14. guidelines needed to assure the cost-effective security and privacy of
  15. sensitive information in Federal computer systems.  This guide is just
  16. one of three brochures designed for a specific audience.  The
  17. "Managers Guide to the Protection of Information Resources" and the
  18. "Computer User's Guide to the Protection of Information Resources"
  19.  
  20. complete the series.
  21.  
  22.  
  23. ACKNOWLEDGMENTS 
  24.  
  25. This guide was written by Cheryl Helsing of Deloitte, Haskins & Sells
  26. in conjunction with Marianne Swanson and Mary Anne Todd, National
  27. Institute of Standards and Technology.
  28.  
  29.  
  30.                           Table of Contents
  31.  
  32. INTRODUCTION .............................................  1 
  33. EXECUTIVE RESPONSIBILITIES ...............................  3 
  34. EXECUTIVE GOALS ..........................................  5  
  35. INFORMATION PROTECTION PROGRAM ELEMENTS ..................  7 
  36. INFORMATION PROTECTION PROGRAM IMPLEMENTATION ............ 11 
  37. FOR ADDITIONAL INFORMATION ............................... 15 
  38.  
  39.  
  40. INTRODUCTION 
  41.  
  42. Federal agencies are becoming increasingly dependent upon automated
  43. information systems to carry out their missions.  While in the past,
  44. executives have taken a hands-off approach in dealing with these
  45. resources, essentially leaving the area to the computer technologist,
  46. they are now recognizing that computers and computer-related problems
  47. must be understood and managed, the same as any other resource.
  48.  
  49. The success of an information resources protection program depends on
  50. the policy generated, and on the attitude of management toward
  51. securing information on automated systems.  You, the policy maker, set
  52. the tone and the emphasis on how important a role information security
  53. will have within your agency.  Your primary responsibility is to set
  54. the information resource security policy for the organization with the
  55. objectives of reduced risk, compliance with laws and regulations and
  56. assurance of operational continuity, information integrity, and
  57. confidentiality.
  58.  
  59.  
  60. Purpose of this Guide 
  61.  
  62. This guide is designed to help you, the policy maker, address a host
  63. of questions regarding the protection and safety of computer systems
  64. and data processed within your agency.  It introduces information
  65. systems security concerns, outlines the management issues that must be
  66. addressed by agency policies and programs, and describes essential
  67. components of an effective implementation process.
  68.  
  69. The Risks 
  70.  
  71. The proliferation of personal computers, local-area networks, and
  72. distributed processing has drastically changed the way we manage and
  73. control information resources.  Internal controls and control points
  74. that were present in the past when we were dealing with manual or
  75. batch processes have not always been replaced with comparable controls
  76. in many of today's automated systems.  Reliance upon inadequately
  77. controlled information systems can have serious consequences,
  78. including:
  79.  
  80.  o  Inability or impairment of the agency's ability to 
  81.     perform its mission 
  82.  
  83.  o  Inability to provide needed services to the public 
  84.  
  85.  o  Waste, loss, misuse, or misappropriation of funds 
  86.  
  87.  o  Loss of credibility or embarrassment to an agency 
  88.  
  89. To avoid these consequences, a broad set of information security
  90. issues must be addressed effectively and comprehensively. Towards this
  91. end, executives should take a traditional risk management approach,
  92. recognizing that risks are taken in the day-to-day management of an
  93. organization, and that there are alternatives to consider in managing
  94. these risks. Risk is accepted as part of doing business or is reduced
  95. or eliminated by modifying operations or by employing control
  96. mechanisms.
  97.  
  98.  
  99. EXECUTIVE RESPONSIBILITIES 
  100.  
  101. Set the Security Policy of the Organization Protecting information
  102. resources is an important goal for all organizations.  This goal is
  103. met by establishing an information resource security program.  It will
  104. require staff, funding and positive incentives to motivate employees
  105. to participate in a program to protect these valuable assets.  This
  106. information resource protection policy should state precisely:
  107.  
  108.  o  the value to the agency of data and information 
  109.     resources and the need to preserve their integrity, availability,
  110.     and confidentiality 
  111.  
  112.  o  the intent of the organization to protect the resources 
  113.     from accidental or deliberate unauthorized disclosure, 
  114.     modification, or destruction by employing cost-effective controls
  115.  
  116.  o  the assignment of responsibility for data security 
  117.     throughout the organization 
  118.  
  119.  o  the requirement to provide computer security and 
  120.     awareness training to all employees having access to information
  121.     resources 
  122.  
  123.  o  the intent to hold employees personally accountable for 
  124.     information resources entrusted to them 
  125.  
  126.  o  the requirement to monitor and assess data security via 
  127.     internal and external audit procedures 
  128.  
  129.  o  the penalties for not adhering to the policy 
  130.  
  131.  
  132. EXECUTIVE GOALS 
  133.  
  134. The policy established for securing information resources should meet
  135. the basic goals of reducing the risk, complying with applicable laws
  136. and regulations, and assuring operational continuity, integrity and
  137. confidentiality.  This section briefly describes these objectives and
  138. how they can be met.
  139.  
  140. Reduce Risk To An Acceptable Level 
  141.  
  142. The dollars spent for security measures to control or contain losses
  143. should never be more than the projected dollar loss if something
  144. adverse happened to the information resource.  Cost-effective security
  145. results when reduction in risk is balanced with the cost of
  146. implementing safeguards.  The greater the value of information
  147. processed, or the more severe the consequences if something happens to
  148. it, the greater the need for control measures to protect it.  It is
  149. important that these trade-offs of cost versus risk reduction be
  150. explicitly considered, and that executives understand the degree of
  151. risk remaining after selected controls are implemented.
  152.  
  153. Assure Operational Continuity 
  154.  
  155. With ever-increasing demands for timely information and greater
  156. volumes of information being processed, availability of essential
  157. systems, networks, and data is a major protection issue.  In some
  158. cases, service disruptions of just a few hours are unacceptable.
  159. Agency reliance on essential computer systems requires that advance
  160. planning be done to allow timely restoration of processing
  161. capabilities in the event of severe service disruption. The impact due
  162. to inability to process data should be assessed, and action taken to
  163. assure availability of those systems considered essential to agency
  164. operation.
  165.  
  166. Comply with Applicable Laws and Regulations 
  167.  
  168. As the pervasiveness of computer systems increases and the risks and
  169. vulnerabilities associated with information systems become better
  170. understood, the body of law and regulations compelling positive action
  171. to protect information resources grows. OMB Circular No. A-130,
  172. "Management of Federal Information Systems," and Public Law 100-235,
  173. "Computer Security Act of 1987" are two documents where the knowledge
  174. of these laws provide a baseline for an information resources security
  175. program.
  176.  
  177. Assure Integrity and Confidentiality 
  178.  
  179. An important objective of an information resource management program
  180. is to ensure that the information is accurate.  Integrity of
  181. information means you can trust the data and the processes that
  182. manipulate it.  A system has integrity when it provides sufficient
  183. accuracy and completeness to meet the needs of the user(s).  It should
  184. be properly designed to automate all functional requirements, include
  185. appropriate accounting and integrity controls, and accommodate the
  186. full range of potential conditions that might be encountered in its
  187. operation.
  188.  
  189. Agency information should also be protected from intruders, as well as
  190. from employees with authorized computer access privileges who attempt
  191. to perform unauthorized actions.  Assured confidentiality of sensitive
  192. data is often, but not always, a requirement of agency systems.
  193. Privacy requirements for personal information are generally dictated
  194. by statute, while protection requirements for other agency information
  195. are a function of the nature of that information.  Determination of
  196. requirements in the latter case is made by the official responsible
  197. for that information.  The impact of wrongful disclosure should be
  198. considered in understanding confidentiality requirements.
  199.  
  200.  
  201. INFORMATION PROTECTION PROGRAM ELEMENTS 
  202.  
  203. Need for Policies and Procedures 
  204.  
  205. Successful execution of the responsibilities previously outlined
  206. requires establishing agency policies and practices regarding
  207. information protection.  The security policy directive facilitates
  208. consistent protection of information resources.  Supporting procedures
  209. are most effectively implemented with top management support, through
  210. a program focused on areas of highest risk.  A compliance assessment
  211. process ensures ongoing effectiveness of the information protection
  212. program throughout the agency.
  213.  
  214. Scope 
  215.  
  216. Although the protection of automated information resources is
  217. emphasized in this publication, protection requirements will usually
  218. extend to information on all forms of media.  Agency programs should
  219. apply safeguards to all information requiring protection, regardless
  220. of its form or location.  Comprehensive information resource
  221. protection procedures will address: accountability for information,
  222. vulnerability assessment, data access, hardware/software control,
  223. systems development, and operational controls.  Protection should be
  224. afforded throughout the life cycle of information, from creation
  225. through ultimate disposition.
  226.  
  227. Accountability for Information 
  228.  
  229. An effective information resource protection program identifies the
  230. information used by the agency and assigns primary responsibility for
  231. information protection to the managers of the respective functional
  232. areas supported by the data.  These managers know the importance of
  233. the data to the organization and are able to quantify the economic
  234. consequences of undesirable happenings.  They are also able to detect
  235. deficiencies in data and know definitively who must have access to the
  236. data supporting their operations. A fundamental information protection
  237. issue is assignment of accountability.  Information flows throughout
  238. the organization and can be shared by many individuals.  This tends to
  239. blur accountability and disperse decision-making regarding information
  240. protection.  Accountability should be explicitly assigned for
  241. determining and monitoring security for appropriate agency
  242. information.
  243.  
  244. When security violations occur, management must be accountable for
  245. responding and investigating.  Security violations should trigger a
  246. re-evaluation of access authorizations, protection decisions, and
  247. control techniques.  All apparent violations should be resolved; since
  248. absolute protection will never be achieved, some losses are
  249. inevitable.  It is important, however, that the degree of risk assumed
  250. be commensurate with the sensitivity or importance of the information
  251. resource to be protected.
  252.  
  253. Vulnerability Assessment 
  254.  
  255. A risk assessment program ensures management that periodic reviews of
  256. information resources have considered the degree of vulnerability to
  257. threats causing destruction, modification, disclosure, and delay of
  258. information availability, in making protection decisions and
  259. investments in safeguards.  The official responsible for a specific
  260. information resource determines protection requirements.
  261. Less-sensitive, less-essential information will require minimal
  262. safeguards, while highly sensitive or critical information might merit
  263. strict protective measures.  Assessment of vulnerability is essential
  264. in specifying cost-effective safeguards; overprotection can be
  265. needlessly costly and add unacceptable operational overhead.
  266.  
  267. Once cost-effective safeguards are selected, residual risk remains and
  268. is accepted by management.  Risk status should be periodically
  269. re-examined to identify new threats, vulnerabilities, or other changes
  270. that affect the degree of risk that management has previously
  271. accepted.
  272.  
  273. Data Access 
  274.  
  275. Access to information should be delegated according to the principles
  276. of need-to-know and least possible privilege.  For a multi-user
  277. application system, only individuals with authorized need to view or
  278. use data are granted access authority, and they are allowed only the
  279. minimum privileges needed to carry out their duties.  For personal
  280. computers with one operator, data should be protected from
  281. unauthorized viewing or use.  It is the individual's responsibility to
  282. ensure that the data is secure.
  283.  
  284. Systems Development 
  285.  
  286. All information systems software should be developed in a controlled
  287. and systematic manner according to agency standards.  Agency policy
  288. should require that appropriate controls for accuracy, security, and
  289. availability are identified during system design, approved by the
  290. responsible official, and implemented.  Users who design their own
  291. systems, whether on a personal computer or on a mainframe, must adhere
  292. to the systems development requirements.
  293.  
  294. Systems should be thoroughly tested according to accepted standards
  295. and moved into a secure production environment through a controlled
  296. process.  Adequate documentation should be considered an integral part
  297. of the information system and be completed before the system can be
  298. considered ready for use.
  299.  
  300. Hardware/Software Configuration Control 
  301.  
  302. Protection of hardware and resources of computer systems and networks
  303. greatly contributes to the overall level of control and protection of
  304. information.  The information protection policies should provide
  305. substantial direction concerning the management and control of
  306. computer hardware and software.
  307.  
  308. Agency information should be protected from the potentially
  309. destructive impact of unauthorized hardware and software.  For
  310. example, software "viruses" have been inserted into computers through
  311. games and apparently useful software acquired via public access
  312. bulletin boards; viruses can spread from system to system before being
  313. detected.  Also, unauthorized hardware additions to personal computers
  314. can introduce unknown dial-in access paths.  Accurate records of
  315. hardware/software inventory, configurations, and locations should be
  316. maintained, and control mechanisms should provide assurance that
  317. unauthorized changes have not occurred.
  318.  
  319. To avoid legal liability, no unauthorized copying of software should
  320. be permitted.  Agencies should also address the issue of personal use
  321. of Federal computer systems, giving employees specific direction about
  322. allowable use and providing consistent enforcement.
  323.  
  324. Operational Controls 
  325.  
  326. Agency standards should clearly communicate minimum expected controls
  327. to be present in all computer facilities, computer operations,
  328. input/output handling, network management, technical support, and user
  329. liaison.  More stringent controls would apply to those areas that
  330. process very sensitive or critical information.
  331.  
  332. Protection of these areas would include: 
  333.  
  334.  o  Security management
  335.  o  Physical security
  336.  o  Security of system/application software and data
  337.  o  Network security
  338.  o  Contingency planning
  339.  
  340. The final section of this guide describes the organizational process
  341. of developing, implementing, and managing the ongoing information
  342. protection program.
  343.  
  344.  
  345. INFORMATION PROTECTION PROGRAM IMPLEMENTATION 
  346.  
  347. Information Protection Management 
  348.  
  349. In most cases, agency executive management is not directly involved in
  350. the details of achieving a controlled information processing
  351. environment.  Instead, executive action should focus on effective
  352. planning, implementation, and an ongoing review structure.  Usually,
  353. an explicit group or organization is assigned specific responsibility
  354. for providing day-to-day guidance and direction of this process.
  355. Within this group an information security manager (ISM) should be
  356. identified as a permanent focal point for information protection
  357. issues within the agency.
  358.  
  359. The ISM must be thoroughly familiar with the agency mission,
  360. organization, and operation.  The manager should have sufficient
  361. authority to influence the organization and have access to agency
  362. executives when issues require escalation.
  363.  
  364. Independence 
  365.  
  366. In determining the reporting relationship of the ISM, independence of
  367. functional areas within the agency is desirable.  Plans and budget for
  368. the ISM function should be approved by agency management, rather than
  369. being part of any functional area budget.  This approach avoids
  370. conflicts of interest and facilitates development and maintenance of a
  371. comprehensive and consistent protection program that serves the needs
  372. of agency management.
  373.  
  374. Degree of Centralization 
  375.  
  376. The desirability of centralized versus decentralized security is
  377. heavily debated and largely depends on size, organizational structure,
  378. and management approach at the individual agency.  A centralized
  379. approach to security has the advantages of being directly responsive
  380. to executive direction and specifically accountable for progress and
  381. status.  A decentralized approach to security has the advantages of
  382. being close to the functional area involved.  In the long term,
  383. decentralization may provide better integration of security with other
  384. entity functions.
  385.  
  386. An effective combined approach offers advantages.  A small dedicated
  387. resource at the agency level can direct the information protection
  388. program, while additional resources are utilized at the functional
  389. area level to implement the program in each area.
  390.  
  391. Dedicated Staff 
  392.  
  393. The common practice of assigning responsibility for information
  394. security to existing staff with other major responsibilities is often
  395. unsuccessful.  At least one dedicated staff member is recommended at
  396. the program management level.  The need for additional full-time
  397. resources depends on the agency's computer environment.  The number of
  398. information systems, their technical complexity, the degree of
  399. networking, the importance of information processed, adequacy of
  400. existing controls, and extent of agency dependence on information
  401. systems affect the resources needed.
  402.  
  403. Implementation Stages 
  404.  
  405. Development of a comprehensive information protection program that is
  406. practiced and observed widely throughout a Federal agency occurs in
  407. stages and requires ongoing monitoring and maintenance to remain
  408. viable.
  409.  
  410. First, organizational requirements for information protection are
  411. identified.  Different agencies have varying levels of need for
  412. security, and the information protection program should be structured
  413. to most effectively meet those needs.
  414.  
  415. Next, organizational policies are developed that provide a security
  416. architecture for agency operations, taking into consideration the
  417. information protection program elements discussed in the previous
  418. section of this guide.  The policies undergo normal review procedures,
  419. then are approved by agency management for implementation.
  420.  
  421. Activities are then initiated to bring the agency into compliance with
  422. the policies.  Depending on the degree of centralization, this might
  423. require development of further plans and budgets within functional
  424. entities of the agency to implement the necessary logical and physical
  425. controls.
  426.  
  427. Training 
  428.  
  429. Training is a major activity in the implementation process.  Security
  430. violations are the result of human action, and problems can usually be
  431. identified in their earliest stages by people.  Developing and
  432. maintaining personnel awareness of information security issues can
  433. yield large benefits in prevention and early detection of problems and
  434. losses.
  435.  
  436. Target audiences for this training are executives and policy makers,
  437. program and functional managers, IRM security and audit personnel,
  438. computer management and operations, and end users. Training can be
  439. delivered through existing policy and procedures manuals, written
  440. materials, presentations and classes, and audio-visual training
  441. programs.
  442.  
  443. The training provided should create an awareness of risks and the
  444. importance of safeguards, underscoring the specific responsibilities
  445. of each of the individuals being trained.
  446.  
  447. Monitoring and Enforcement 
  448.  
  449. An ongoing monitoring and enforcement program assures continued
  450. effectiveness of information protection measures.  Compliance may be
  451. measured in a number of ways, including audits, management reviews or
  452. self-assessments, surveys, and other informal indicators.  A
  453. combination of monitoring mechanisms provides greater reliability of
  454. results.
  455.  
  456. Variances from policy requirements should be accepted only in cases
  457. where the responsible official has evaluated, documented, and accepted
  458. the risk of noncompliance.  Enforcement of agency policies and
  459. practices is important to the overall success of an information
  460. protection program.  Inconsistent or lax enforcement quickly results
  461. in deterioration of internal controls over information resources.
  462.  
  463. A positive benefit of an effective monitoring and enforcement process
  464. is an increased understanding of the degree of information-related
  465. risk in agency operations.  Without such a feedback process,
  466. management unknowingly accepts too much risk.  An effective
  467. information protection program allows the agency to continue to rely
  468. upon and expand the use of information technology while maintaining an
  469. acceptable level of risk.
  470.  
  471. Maintenance 
  472.  
  473. As agency initiatives and operations change, and as the computer
  474. environment evolves, some elements of the information protection
  475. program will require change as well.  Information protection cannot be
  476. viewed as a project with a distinct end; rather, it is a process that
  477. should be maintained to be realistic and useful to the agency.
  478. Procedures for review and update of policies and other program
  479. elements should be developed and followed.
  480.  
  481.  
  482. FOR ADDITIONAL INFORMATION 
  483.  
  484. National Institute Of Standards and Technology
  485. Computer Security Program Office
  486. A-216 Technology
  487. Gaithersburg, MD 20899
  488. (301) 975-5200 
  489.  
  490. For further information on the management of information resources,
  491. NIST publishes Federal Information Processing Standards Publications
  492. (FIPS PUBS).  These publications deal with many aspects of computer
  493. security, including password usage, data encryption, ADP risk
  494. management and contingency planning, and computer system security
  495. certification and accreditation.  A list of current publications is
  496. available from:
  497.  
  498.                 Standards Processing Coordinator (ADP)
  499.                 National Computer Systems Laboratory
  500.                 National Institute of Standards and technology
  501.                 Technology Building, B-64
  502.                 Gaithersburg, MD 20899
  503.                 Phone:   (301)  975-2817 
  504.  
  505.  
  506.