home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / fips_500_170.txt < prev    next >
Encoding:
Text File  |  1991-09-30  |  24.5 KB  |  526 lines
  1.      Management Guide to the Protection of Information Resources
  2.  
  3.  
  4. National Institute of Standards and Technology 
  5.  
  6. The National Institute of Standards and Technology (NIST), is
  7. responsible for developing standards, providing technical assistance,
  8. and conducting research for computers and related systems.  These
  9. activities provide technical support to government and industry in the
  10. effective, safe, and economical use of computers.  With the passage of
  11. the Computer Security Act of 1987 (P.L. 100-235), NIST's activities
  12. also include the development of standards and guidelines needed to
  13. assure the cost-effective security and privacy of sensitive
  14. information in Federal computer systems.  This guide represents one
  15. activity towards the protection and management of sensitive
  16. information resources.
  17.   
  18. Acknowledgments 
  19.  
  20. This guide was written by Cheryl Helsing of Deloitte, Haskins & Sells
  21. in conjunction with Marianne Swanson and Mary Anne Todd, National
  22. Institute of Standards and Technology.
  23.  
  24. Executive Summary 
  25.  
  26. Today computers are integral to all aspects of operations within an
  27. organization. As Federal agencies are becoming critically dependent
  28. upon computer information systems to carry out their missions, the
  29. agency executives (policy makers) are recognizing that computers and
  30. computer-related problems must be understood and managed, the same as
  31. any other resource. They are beginning to understand the importance of
  32. setting policies, goals, and standards for protection of data,
  33. information, and computer resources, and are committing resources for
  34. information security programs. They are also learning that primary
  35. responsibility for data security must rest with the managers of the
  36. functional areas supported by the data.
  37.  
  38. All managers who use any type of automated information resource system
  39. must become familiar with their agency's policies and procedures for
  40. protecting the information which is processed and stored within them.
  41. Adequately secure systems deter, prevent, or detect unauthorized
  42. disclosure, modification, or use of information.  Agency information
  43. requires protection from intruders, as well as from employees with
  44. authorized computer access privileges who attempt to perform
  45. unauthorized actions.  Protection is achieved not only by technical,
  46. physical and personnel safeguards, but also by clearly articulating
  47. and implementing agency policy regarding authorized system use to
  48. information users and processing personnel at all levels.  This guide
  49. is one of three brochures that have been designed for a specific
  50. audience.  The "Executive Guide to the Protection of Information
  51. Resources" and the "Computer User's Guide to the Protection of
  52. Information Resources" complete the series.
  53.  
  54.                           
  55.  
  56.  
  57.                           Table of Contents
  58.   
  59.  Executive Summary .......................................... iv 
  60.  Introduction ...............................................  1 
  61.  Purpose of Guide ...........................................  1 
  62.  The Risks ..................................................  1 
  63.  Responsibilities ...........................................  2 
  64.  Information Systems Development ............................  5 
  65.  Control Decisions ..........................................  5 
  66.  Security Principles ........................................  5 
  67.  Access Decisions ...........................................  7 
  68.  Systems Development Process ................................  7 
  69.  Computer Facility Management ...............................  9 
  70.  Physical Security ..........................................  9 
  71.  Data Security .............................................. 11 
  72.  Monitoring and Review ...................................... 11 
  73.  Personnel Management ....................................... 13 
  74.  Personnel Security ......................................... 13 
  75.  Training ................................................... 14 
  76.  For Additional Information ................................. 15 
  77.   
  78. Introduction 
  79.  
  80.  
  81. Purpose of this Guide 
  82.  
  83. This guide introduces information systems security concerns and
  84. outlines the issues that must be addressed by all agency managers in
  85. meeting their responsibilities to protect information systems within
  86. their organizations. It describes essential components of an effective
  87. information resource protection process that applies to a stand alone
  88. personal computer or to a large data processing facility.
  89.  
  90.  
  91. The Risks 
  92.  
  93. Effort is required by every Federal agency to safeguard information
  94. resources and to reduce risks to a prudent level.  The spread of
  95. computing power to individual employees via personal computers,
  96. local-area networks, and distributed processing has drastically
  97. changed the way we manage and control information resources. Internal
  98. controls and control points that were present in the past when we were
  99. dealing with manual or batch processes have not been established in
  100. many of today's automated systems. Reliance upon inadequately
  101. controlled computer systems can have serious consequences, including:
  102.  
  103.  o  Inability or impairment of the agency's ability to perform its
  104.     mission 
  105.  
  106.  o  Inability to provide needed services to the public 
  107.  
  108.  o  Waste, loss, misuse, or misappropriation of funds 
  109.  
  110.  o  Loss of credibility or embarrassment to an agency 
  111.  
  112. To avoid these consequences, a broad set of information security
  113. issues must be effectively and comprehensively addressed.
  114.  
  115.  
  116. Responsibilities 
  117.  
  118. All functional managers have a responsibility to implement the
  119. policies and goals established by executive management for protection
  120. of automated information resources (data, processes, facilities,
  121. equipment, personnel, and information).  Managers in all areas of an
  122. organization are clearly accountable for the protection of any of
  123. these resources assigned to them to enable them to perform their
  124. duties. They are responsible for developing, administering,
  125. monitoring, and enforcing internal controls, including security
  126. controls, within their assigned areas of authority.  Each manager's
  127. specific responsibilities will vary, depending on the role that
  128. manager has with regard to computer systems.
  129.  
  130. Portions of this document provide more detailed information on
  131. the respective security responsibilities of managers of computer
  132. resources, managers responsible for information systems
  133. applications and the personnel security issues involved. 
  134. However, all agency management must strive to: 
  135.  
  136. 1)  Achieve Cost-Effective Security 
  137.  
  138.     The dollars spent for security measures to control or contain losses
  139.     should never be more than the projected dollar loss if something
  140.     adverse happened to the information resource.  Cost-effective security
  141.     results when reduction in risk through implementation of safeguards is
  142.     balanced with costs. The greater the value of information processed,
  143.     or the more severe the consequences if something happens to it, the
  144.     greater the need for control measures to protect it.  The person who
  145.     can best determine the value or importance of data is the functional
  146.     manager who is responsible for the data.  For example, the manager
  147.     responsible for the agency's budget program is the one who should
  148.     establish requirements for the protection of the automated data which
  149.     supports the program. This manager knows better than anyone else in
  150.     the organization what the impact will be if the data is inaccurate or
  151.     unavailable.  Additionally, this manager usually is the supervisor of
  152.     most of the users of the data.
  153.  
  154.     It is important that these trade-offs of cost versus risk
  155.     reduction be explicitly considered, and that management understand
  156.     the degree of risk remaining after selected controls are implemented.
  157.  
  158. 2)  Assure Operational Continuity 
  159.  
  160.     With ever-increasing demands for timely information and greater
  161.     volumes of information being processed, the threat of information
  162.     system disruption is a very serious one.  In some cases, interruptions
  163.     of only a few hours are unacceptable.  The impact due to inability to
  164.     process data should be assessed, and actions should be taken to assure
  165.     availability of those systems considered essential to agency
  166.     operation. Functional management must identify critical computer
  167.     applications and develop contingency plans so that the probability of
  168.     loss of data processing and telecommunications support is minimized.
  169.  
  170. 3)  Maintain Integrity 
  171.  
  172.     Integrity of information means you can trust the data and the
  173.     processes that manipulate it. Not only does this mean that errors and
  174.     omissions are minimized, but also that the information system is
  175.     protected from deliberate actions to wrongfully change the data.
  176.     Information can be said to have integrity when it corresponds to the
  177.     expectations and assumptions of the users.
  178.  
  179. 4)  Assure Confidentiality 
  180.  
  181.     Confidentiality of sensitive data is often, but not always, a
  182.     requirement of agency systems. Privacy requirements for personal
  183.     information is dictated by statute, while confidentiality of
  184.     another agency information is determined by the nature of that
  185.     information, e.g., information submitted by bidders in
  186.     procurement actions. The impact of wrongful disclosure must be
  187.     considered in understanding confidentiality requirements. 
  188.  
  189. 5)  Comply with Applicable Laws and Regulations 
  190.  
  191.     As risks and vulnerabilities associated with information systems
  192.     become better understood, the body of law and regulations
  193.     compelling positive action to protect information resources
  194.     grows.  OMB Circular No. A-130, "Management of Federal
  195.     Information Resources" and Public Law 100-235, "Computer Security
  196.     Act of 1987" are two documents where the knowledge of these
  197.     regulations and laws provide a baseline for an information
  198.     resource security program. 
  199.  
  200.  
  201. Information Systems Development 
  202.  
  203. This section describes the protective measures that should be included
  204. as part of the design and development of information processing
  205. application systems.  The functional manager that is responsible for
  206. and will use the information contained in the system, must ensure that
  207. security measures have been included and are adequate.  This includes
  208. applications designed for personal computers as well as large
  209. mainframes.
  210.  
  211.  
  212. Control Decisions 
  213.  
  214. The official responsible for the agency function served by the
  215. automated information system has a critical role in making decisions
  216. regarding security and control. In the past, risk was often
  217. unconsciously accepted when such individuals assumed the computer
  218. facility operators were taking care of security. In fact, there are
  219. decisions to be made and security elements to be provided that cannot
  220. be delegated to the operator of the system.  In many cases, the user
  221. or manager develops the application and operates solely.
  222.  
  223. The cost of control must be balanced with system efficiency and
  224. usability issues. Risk must be evaluated and cost-effective controls
  225. selected to provide a prudent level of control while maximizing
  226. productivity. Controls are often closely connected with the system
  227. function, and cannot be effectively designed without significant
  228. understanding of the process being automated.
  229.  
  230.  
  231. Security Principles 
  232.  
  233. There are some common security attributes that should be present in
  234. any system that processes valuable personal or sensitive information.
  235. System designs should include mechanisms to enforce the following
  236. security attributes.
  237.  
  238. Identification and Authentication of Users 
  239. Each user of a computer system should have a unique
  240. identification on the system, such as an account number or other
  241. user identification code. There must also be a means of verifying
  242. that the individual claiming that identity (e.g., by typing in
  243. that identifying code at a terminal) is really the authorized
  244. individual and not an imposter. The most common means of
  245. authentication is by a secret password, known only to the
  246. authorized user. 
  247.  
  248. Authorization Capability Enforcing the Principle of Least
  249. Possible Privilege 
  250. Beyond ensuring that only authorized individuals can access the
  251. system, it is also necessary to limit the users access to information
  252. and transaction capabilities. Each person should be limited to only
  253. the information and transaction authority that is required by their
  254. job responsibilities. This concept, known as the principle of least
  255. possible privilege, is a long-standing control practice. There should
  256. be a way to easily assign each user just the specific access
  257. authorities needed.
  258.  
  259. Individual Accountability 
  260. From both a control and legal point of view, it is necessary to
  261. maintain records of the activities performed by each computer user.
  262. The requirements for automated audit trails should be developed when a
  263. system is designed. The information to be recorded depends on what is
  264. significant about each particular system. To be able to hold
  265. individuals accountable for their actions, there must be a positive
  266. means of uniquely identifying each computer user and a routinely
  267. maintained record of each user's activities.
  268.  
  269. Audit Mechanisms 
  270. Audit mechanisms detect unusual events and bring them to the attention
  271. of management. This commonly occurs by violation reporting or by an
  272. immediate warning to the computer system operator. The type of alarm
  273. generated depends on the seriousness of the event.
  274.  
  275. A common technique to detect access attempts by unauthorized
  276. individuals is to count attempts. The security monitoring functions of
  277. the system can automatically keep track of unsuccessful attempts to
  278. gain access and generate an alarm if the attempts reach an
  279. unacceptable number.
  280.  
  281. Performance Assurance 
  282. A basic design consideration for any information system should be the
  283. ability to verify that the system is functioning as intended. Systems
  284. that are developed without such design considerations are often very
  285. difficult to independently audit or review, leading to the possibility
  286. of unintended results or inaccurate processing.
  287.  
  288. Recoverability 
  289. Because Federal agencies can potentially be heavily dependent on a
  290. computer system, an important design consideration is the ability to
  291. easily recover from troublesome events, whether minor problems or
  292. major disruptions of the system. From a design point of view, systems
  293. should be designed to easily recover from minor problems, and to be
  294. either transportable to another backup computer system or replaced by
  295. manual processes in case of major disruption or loss of computer
  296. facility.
  297.  
  298.  
  299. Access Decisions 
  300.  
  301. Once the automated system is ready to use, decisions must be made
  302. regarding access to the system and the information it contains. For
  303. example, many individuals require the ability to access and view data,
  304. but not the ability to change or delete data. Even when computer
  305. systems have been designed to provide the ability to narrowly
  306. designate access authorities, a knowledgeable and responsible official
  307. must actually make those access decisions. The care that is taken in
  308. this process is a major determining factor of the level of security
  309. and control present in the system. If sensitive data is being
  310. transmitted over unprotected lines, it can be intercepted or passive
  311. eavesdropping can occur.  Encrypting the files will make the data
  312. unintelligible and port protection devices will protect the files from
  313. unauthorized access, if warranted.
  314.  
  315.  
  316. Systems Development Process 
  317.  
  318. All information systems software should be developed in a controlled
  319. and systematic manner according to agency standards.  The quality and
  320. efficiency of the data processed, and the possible reconfiguration of
  321. the system can all be affected by an inadequate development process.
  322. The risk of security exposures and vulnerabilities is greatly reduced
  323. when the systems development process is itself controlled.
  324.  
  325.  
  326. Computer Facility Management 
  327.  
  328. Functional managers play a critical role in assuring that agency
  329. information resources are appropriately safeguarded. This section
  330. describes the protective measures that should be incorporated into the
  331. ongoing management of information resource processing facilities.  As
  332. defined in OMB Circular No. A-130, "Management of Federal Information
  333. Resources," the term "information technology facility" means an
  334. organizationally defined set of personnel, hardware, software, and
  335. physical facilities, a primary function of which is the operation of
  336. information technology.  This section, therefore applies to any
  337. manager who houses a personal computer, mainframe or any other form of
  338. office system or automated equipment.
  339.  
  340.  
  341. Physical Security 
  342.  
  343. Information cannot be appropriately protected unless the facilities
  344. that house the equipment are properly protected from physical threats
  345. and hazards. The major areas of concern are described below.
  346.  
  347. Environmental Conditions 
  348. For many types of computer equipment, strict environmental conditions
  349. must be maintained. Manufacturer's specifications should be observed
  350. for temperature, humidity, and electrical power requirements.
  351.  
  352. Control of Media 
  353. The media upon which information is stored should be carefully
  354. controlled. Transportable media such as tapes and cartridges should be
  355. kept in secure locations, and accurate records kept of the location
  356. and disposition of each. In addition, media from an external source
  357. should be subject to a check-in process to ensure it is from an
  358. authorized source.
  359.  
  360. Control of Physical Hazards 
  361. Each area should be surveyed for potential physical hazards.  Fire and
  362. water are two of the most damaging forces with regard to computer
  363. systems. Opportunities for loss should be minimized by an effective
  364. fire detection and suppression mechanism, and planning reduces the
  365. danger of leaks or flooding. Other physical controls include reducing
  366. the visibility of the equipment and strictly limiting access to the
  367. area or equipment.
  368.  
  369. Contingency Planning 
  370. Although risks can be minimized, they cannot be eliminated. When
  371. reliance upon a computer facility or application is substantial, some
  372. type of contingency plan should be devised to allow critical systems
  373. to be recovered following a major disaster, such as a fire. There are
  374. a number of alternative approaches that should be evaluated to most
  375. cost-effectively meet the agency's need for continuity of service.
  376.  
  377. Configuration Management 
  378. Risk can be introduced through unofficial and unauthorized hardware or
  379. software. Another key component of information resource management is
  380. ensuring only authorized hardware and software are being utilized.
  381. There are several control issues to be addressed.
  382.  
  383. Maintaining Accurate Records 
  384. Records of hardware/software inventories, configurations, and
  385. locations should be maintained and kept up-to-date.
  386.  
  387. Complying with Terms of Software Licenses 
  388. Especially with microcomputer software, illegal copying and other uses
  389. in conflict with licensing agreements are concerns.  The use of
  390. software subject to licensing agreements must be monitored to ensure
  391. it is used according to the terms of the agreement.
  392.  
  393. Protecting Against Malicious Software and Hardware 
  394. The recent occurrences of destructive computer "viruses" point to the
  395. need to ensure that agencies do not allow unauthorized software to be
  396. introduced to their computer environments.  Unauthorized hardware can
  397. also contain hidden vulnerabilities.  Management should adopt a strong
  398. policy against unauthorized hardware/software, inform personnel about
  399. the risks and consequences of unauthorized additions to computer
  400. systems, and develop a monitoring process to detect violations of the
  401. policy.
  402.  
  403.  
  404. Data Security  
  405.  
  406. Management must ensure that appropriate security mechanisms are in
  407. place that allow responsible officials to designate access to data
  408. according to individual computer users' specific needs.  Security
  409. mechanisms should be sufficient to implement individual authentication
  410. of system users, allow authorization to specific information and
  411. transaction authorities, maintain audit trails as specified by the
  412. responsible official, and encrypt sensitive files if required by user
  413. management.
  414.  
  415.  
  416. Monitoring and Review 
  417.  
  418. A final aspect of information resource protection to be considered is
  419. the need for ongoing management monitoring and review. To be
  420. effective, a security program must be a continuous effort. Ideally,
  421. ongoing processes should be adapted to include information protection
  422. checkpoints and reviews. Information resource protection should be a
  423. key consideration in all major computer system initiatives.
  424.  
  425. Earlier, the need for system audit trails was discussed. Those audit
  426. trails are useful only if management regularly reviews exception items
  427. or unusual activities. Irregularities should be researched and action
  428. taken when merited. Similarly, all information-related losses and
  429. incidents should be investigated.
  430.  
  431.  A positive benefit of an effective monitoring process is an increased
  432. understanding of the degree of information-related risk in agency
  433. operations. Without an ongoing feedback process, management may
  434. unknowingly accept too much risk. Prudent decisions about trade-offs
  435. between efficiency and control can only be made with a clear
  436. understanding of the degree of inherent risk. Every manager should ask
  437. questions and periodically review operations to judge whether changes
  438. in the environment have introduced new risk, and to ensure that
  439. controls are working effectively.
  440.  
  441.  
  442. Personnel Management 
  443.  
  444. Managers must be aware that information security is more a people
  445. issue than a technical issue. Personnel are a vital link in the
  446. protection of information resources, as information is gathered by
  447. people, entered into information resource systems by people, and
  448. ultimately used by people. Security issues should be addressed with
  449. regard to:
  450.   o  People who use computer systems and store information in the
  451.      course of their normal job responsibilities 
  452.   o  People who design, program, test, and implement critical or
  453.      sensitive systems 
  454.   o  People who operate computer facilities that process critical or
  455.      sensitive data 
  456.  
  457.  
  458. Personnel Security 
  459.  
  460. From the point of hire, individuals who will have routine access to
  461. sensitive information resources should be subject to special security
  462. procedures. More extensive background or reference checks may be
  463. appropriate for such positions, and security responsibilities should
  464. be explicitly covered in employee orientations. Position descriptions
  465. and performance evaluations should also explicitly reference unusual
  466. responsibilities affecting the security of information resources.
  467.  
  468. Individuals in sensitive positions should be subject to job rotation,
  469. and work flow should be designed in such a way as to provide as much
  470. separation of sensitive functions as possible.  Upon decision to
  471. terminate or notice of resignation, expedited termination or rotation
  472. to less sensitive duties for the remainder of employment is a
  473. reasonable precaution.
  474.  
  475. Any Federal computer user who deliberately performs or attempts to
  476. perform unauthorized activity should be subject to disciplinary
  477. action, and such disciplinary action must be uniformly applied
  478. throughout the agency. Any criminal activity under Federal or state
  479. computer crime laws must be reported to law enforcement authorities.
  480.  
  481.  
  482. Training 
  483.  
  484. Most information resource security problems involve people.  Problems
  485. can usually be identified in their earliest stages by people who are
  486. attuned to the importance of information protection issues. A strong
  487. training program will yield large benefits in prevention and early
  488. detection of problems and losses. To be most effective, training
  489. should be tailored to the particular audience being addressed, e.g.,
  490. executives and policy makers; program and functional managers; IRM
  491. security and audit: ADP management and operations; end users.
  492.  
  493. Most employees want to do the right thing, if agency expectations are
  494. clearly communicated. Internal policies can be enforced only if staff
  495. have been made aware of their individual responsibilities. All
  496. personnel who access agency computer systems should be aware of their
  497. responsibilities under agency policy, as well as obligations under the
  498. law. Disciplinary actions and legal penalties should be communicated.
  499.  
  500.  
  501. For Additional Information 
  502.   
  503. National Institute Of Standards and Technology 
  504. Computer Security Program Office, A-216 Technology 
  505. Gaithersburg, MD 20899 
  506. (301) 975-5200 
  507.  
  508. For further information on the management of information resources,
  509. NIST publishes Federal Information Processing Standards Publications
  510. (FIPS PUBS).  These publications deal with many aspects of computer
  511. security, including password usage, data encryption, ADP risk
  512. management and contingency planning, and computer system security
  513. certification and accreditation.  A list of current publications is
  514. available from:
  515.  
  516.                 Standards Processing Coordinator (ADP)
  517.                 National Computer Systems Laboratory
  518.                 National Institute of Standards and Technology
  519.                 Technology Building, B-64
  520.                 Gaithersburg, MD  20899
  521.                 Phone: (301)  975-2817 
  522.  
  523.  
  524.  
  525.  
  526.