home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / inet / scc / fips_500_171.txt < prev    next >
Encoding:
Text File  |  1991-09-30  |  15.7 KB  |  345 lines
  1.         Computer User's Guide to the Protection of Information
  2.         Resources 
  3.   
  4.  
  5. NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 
  6.  
  7. The National Institute of Standards and Technology (NIST) is
  8. responsible or developing standards, providing technical assistance,
  9. and conducting research for computers and related systems. These
  10. activities provide technical support to government and industry in the
  11. effective, safe, and economical use of computers. With the passage of
  12. the Computer Security Act of 1987 (P.L. 100-235), NIST's activities
  13. also include the development of standards and guidelines needed to
  14. assure the cost-effective security and privacy of sensitive
  15. information in Federal computer systems.  This guide is just one of
  16. three brochures designed for a specific audience.  The "Executive
  17. Guide to the Protection of Information Resources," and the "Managers
  18. Guide to the Protection of Information Resources" complete the series.
  19.   
  20. ACKNOWLEDGMENTS 
  21.  
  22. This guide was written by Cheryl Helsing of Deloitte, Haskins & Sells
  23. in conjunction with Marianne Swanson and Mary Anne Todd of the
  24. National Institute of Standards and Technology.
  25.  
  26.  
  27. INTRODUCTION 
  28.  
  29. Today's computer technology, with microcomputers and on-line access,
  30. has placed the power of the computer where it belongs, in YOUR hands.
  31. YOU, the users, develop computer applications and perform other data
  32. processing functions which previously were only done by the computer
  33. operations personnel. These advances have greatly improved our
  34. efficiency and effectiveness but, also present a serious challenge in
  35. achieving adequate data security.
  36.  
  37. While excellent progress has been made in computer technology, very
  38. little has been done to inform users of the vulnerability of data and
  39. information to such threats as unauthorized modification, disclosure,
  40. and destruction, either deliberate or accidental. This guide will make
  41. you aware of some of the undesirable things that can happen to data
  42. and will provide some practical solutions for reducing your risks to
  43. these threats.
  44.  
  45.  
  46. WHO IS RESPONSIBLE FOR PROTECTING DATA AND INFORMATION? 
  47.  
  48. The statement that "security is everyone's responsibility" is
  49. absolutely true. Owners, developers, operators and users of
  50. information systems each has a personal responsibility to protect
  51. these resources. Functional managers have the responsibility to
  52. provide appropriate security controls for any information resources
  53. entrusted to them. These managers are personally responsible for
  54. understanding the sensitivity and criticality of their data and the
  55. extent of losses that could occur if the resources are not protected.
  56. Managers must ensure that all users of their data and systems are made
  57. aware of the practices and procedures used to protect the information
  58. resources. When you don't know what your security responsibilities
  59. are, ASK YOUR MANAGER OR SUPERVISOR.
  60.  
  61.  
  62. WHAT IS "SENSITIVE" DATA? 
  63.  
  64. All data is sensitive to some degree; exactly how sensitive is unique
  65. to each business environment. Within the Federal Government, personal
  66. information is sensitive to unauthorized disclosure under the Privacy
  67. Act of 1974.  In some cases, data is far more sensitive to accidental
  68. errors or omissions that compromise accuracy, integrity, or
  69. availability.  For example, in a Management Information System,
  70. inaccurate, incomplete, or obsolete information can result in
  71. erroneous management decisions which could cause serious damage and
  72. require time and money to rectify. Data and information which are
  73. critical to an agency's ability to perform its mission are sensitive
  74. to nonavailability.
  75.  
  76. Still other data are sensitive to fraudulent manipulation for personal
  77. gain. Systems that process electronic funds transfers, control
  78. inventories, issue checks, control accounts receivables and payables,
  79. etc., can be fraudulently exploited resulting in serious losses to an
  80. agency.  One way to determine the sensitivity of data is to ask the
  81. questions "What will it cost if the data is wrong? Manipulated for
  82. fraudulent purposes? Not available? Given to the wrong person?" If the
  83. damage is more than you can tolerate, then the data is sensitive and
  84. should have adequate security controls to prevent or lessen the
  85. potential loss.
  86.  
  87.  
  88. WHAT RISKS ARE ASSOCIATED WITH THE USE OF COMPUTERS? 
  89.  
  90. Over the past several decades, computers have taken over virtually all
  91. of our major record-keeping functions. Recently, personal computers
  92. have made it cost-effective to automate many office functions.
  93. Computerization has many advantages and is here to stay; however,
  94. automated systems introduce new risks, and we should take steps to
  95. control those risks.  We should be concerned with the same risks that
  96. existed when manual procedures were used, as well as some new risks
  97. created by the unique nature of computers themselves. One risk
  98. introduced by computers is the concentration of tremendous amounts of
  99. data in one location. The greater the concentration, the greater the
  100. consequences of loss or damage. Another example is that computer users
  101. access information from remote terminals. We must be able to
  102. positively identify the user, as well as ensure that the user is only
  103. able to access information and functions that have been authorized.
  104. Newspaper accounts of computer "hackers," computer virus attacks, and
  105. other types of intruders underscore the reality of the threat to
  106. government and commercial computer systems.
  107.  
  108.  
  109. HOW MUCH SECURITY IS ENOUGH? 
  110.  
  111. No matter how many controls or safeguards we use, we can never achieve
  112. total security. We can, however, decrease the risk in proportion to
  113. the strength of the protective measures. The degree of protection is
  114. based on the value of the information; in other words, how serious
  115. would be the consequences if a certain type of information were to be
  116. wrongfully changed, disclosed, delayed, or destroyed?
  117.  
  118.  
  119. GENERAL RESPONSIBILITIES 
  120.  
  121. All Federal computer system users share certain general
  122. responsibilities for information resource protection. The following
  123. considerations should guide your actions.
  124.  
  125. Treat information as you would any valuable asset. 
  126.  
  127.   You would not walk away from your desk leaving cash or other
  128.   valuable unattended. You should take the same care to protect
  129.   information. If you are not sure of the value or sensitivity of the
  130.   various kinds of information you handle, ask your manager for
  131.   guidance.
  132.  
  133. Use government computer systems only for lawful and authorized
  134. purposes.  
  135.  
  136.   The computer systems you use in your daily work should be used only
  137.   for authorized purposes and in a lawful manner. There are computer
  138.   crime laws that prescribe criminal penalties for those who illegally
  139.   access Federal computer systems or data.  Additionally, the
  140.   unauthorized use of Federal computer systems or use of authorized
  141.   privileges for unauthorized purposes could result in disciplinary
  142.   action.
  143.  
  144. Observe policies and procedures established by agency
  145. management.  
  146.  
  147.   Specific requirements for the protection of information have been
  148.   established by your agency. These requirements may be found in policy
  149.   manuals, rules, or procedures. Ask your manager if you are unsure
  150.   about your own responsibilities for protection of information.
  151.  
  152. Recognize that you are accountable for your activities on
  153. computer systems. 
  154.  
  155.   After you receive authorization to use any Federal computer system,
  156.   you become personally responsible and accountable for your activity on
  157.   the system. Accordingly, your use should be restricted to those
  158.   functions needed to carry out job responsibilities.
  159.  
  160. Report unusual occurrences to your manager. 
  161.  
  162.   Many losses would be avoided if computer users would report any
  163.   circumstances that seem unusual or irregular. Warning signals could
  164.   include such things as unexplainable system activity that you did not
  165.   perform, data that appears to be of questionable accuracy, and
  166.   unexpected or incorrect processing results. If you should notice
  167.   anything of a questionable nature, bring it to your manager's
  168.   attention.
  169.  
  170. Security and Control Guidelines 
  171.  
  172.   Some common-sense protective measures can reduce the risk of loss,
  173.   damage, or disclosure of information. Following are the most important
  174.   areas of information systems controls that assure that the system is
  175.   properly used, resistant to disruptions, and reliable.
  176.  
  177. Make certain no one can impersonate you. 
  178.  
  179.   If a password is used to verify your identity, this is the key to
  180.   system security. Do not disclose your password to anyone, or allow
  181.   anyone to observe your password as you enter it during the sign-on
  182.   process. If you choose your own password, avoid selecting a password
  183.   with any personal associations, or one that is very simple or short.
  184.   The aim is to select a password that would be difficult to guess or
  185.   derive. "1REDDOG" would be a better password than "DUKE."
  186.  
  187.   If your system allows you to change your own password, do so
  188.   regularly. Find out what your agency requires, and change passwords at
  189.   least that frequently. Periodic password changes keep undetected
  190.   intruders from continuously using the password of a legitimate user.
  191.  
  192.   After you are logged on, the computer will attribute all activity to
  193.   your user id. Therefore, never leave your terminal without logging off
  194.   -- even for a few minutes. Always log off or otherwise inactivate your
  195.   terminal so no one could perform any activity under your user id when
  196.   you are away from the area.
  197.  
  198.   Safeguard sensitive information from disclosure to others.  People
  199.   often forget to lock up sensitive reports and computer media
  200.   containing sensitive data when they leave their work areas.
  201.   Information carelessly left on top of desks and in unlocked storage
  202.   can be casually observed, or deliberately stolen. Every employee who
  203.   works with sensitive information should have lockable space available
  204.   for storage when information is not in use. If you aren't sure what
  205.   information should be locked up or what locked storage is available,
  206.   ask your manager.
  207.  
  208.   While working, be aware of the visibility of data on your personal
  209.   computer or terminal display screen. You may need to reposition
  210.   equipment or furniture to eliminate over-the-shoulder viewing. Be
  211.   especially careful near windows and in public areas.  Label all
  212.   sensitive diskettes and other computer media to alert other employees
  213.   of the need to be especially careful. When no longer needed, sensitive
  214.   information should be deleted or discarded in such a way that
  215.   unauthorized individuals cannot recover the data. Printed reports
  216.   should be finely shredded, while data on magnetic media should be
  217.   overwritten. Files that are merely deleted are not really erased and
  218.   can still be recovered.
  219.  
  220. Install physical security devices or software on personal
  221. computers.  
  222.  
  223.   The value and popularity of personal computers make theft a big
  224.   problem, especially in low-security office areas. Relatively
  225.   inexpensive hardware devices greatly reduce the risk of equipment
  226.   loss. Such devices involve lock-down cables or enclosures that attach
  227.   equipment to furniture. Another approach is to place equipment in
  228.   lockable cabinets.
  229.  
  230.   When data is stored on a hard disk, take some steps to keep
  231.   unauthorized individuals from accessing that data. A power lock device
  232.   only allows key-holders to turn on power to the personal computer.
  233.   Where there is a need to segregate information between multiple
  234.   authorized users of a personal computer, additional security in the
  235.   form of software is probably needed. Specific files could be encrypted
  236.   to make them unintelligible to unauthorized staff, or access control
  237.   software can divide storage space among authorized users, restricting
  238.   each user to their own files.
  239.  
  240.   Avoid costly disruptions caused by data or hardware loss.  Disruptions
  241.   and delays are expensive. No one enjoys working frantically to
  242.   re-enter work, do the same job twice, or fix problems while new work
  243.   piles up. Most disruptions can be prevented, and the impact of
  244.   disruptions can be minimized by advance planning. Proper environmental
  245.   conditions and power supplies minimize equipment outages and
  246.   information loss. Many electrical circuits in office areas do not
  247.   constitute an adequate power source, so dedicated circuits for
  248.   computer systems should be considered. Make certain that your
  249.   surroundings meet the essential requirements for correct equipment
  250.   operation. Cover equipment when not in use to protect it from dust,
  251.   water leaks, and other hazards.
  252.  
  253.   For protection from accidental or deliberate destruction of data,
  254.   regular data backups are essential. Complete system backups should be
  255.   taken at intervals determined by how quickly information changes or by
  256.   the volume of transactions. Backups should be stored in another
  257.   location, to guard against the possibility of original and backup
  258.   copies being destroyed by the same fire or other disaster.
  259.  
  260.   Maintain the authorized hardware/software configuration.  Some
  261.   organizations have been affected by computer "viruses" acquired
  262.   through seemingly useful or innocent software obtained from public
  263.   access bulletin boards or other sources; others have been liable for
  264.   software illegally copied by employees. The installation of
  265.   unauthorized hardware can cause damage, invalidate warranties, or have
  266.   other negative consequences.  Install only hardware or software that
  267.   has been acquired through normal acquisition procedures and comply
  268.   with all software licensing agreement requirements.
  269.  
  270.  
  271. SUMMARY 
  272.  
  273. Ultimately, computer security is the user's responsibility.  You, the
  274. user, must be alert to possible breaches in security and adhere to the
  275. security regulations that have been established within your agency.
  276. The security practices listed are not inclusive, but rather designed
  277. to remind you and raise your awareness towards securing your
  278. information resources:
  279.  
  280. PROTECT YOUR EQUIPMENT 
  281.  Keep it in a secure environment 
  282.  Keep food, drink, and cigarettes AWAY from it 
  283.  Know where the fire suppression equipment is located and know
  284.   how to use it 
  285.  
  286. PROTECT YOUR AREA 
  287.  Keep unauthorized people AWAY from your equipment and data 
  288.  Challenge strangers in your area 
  289.  
  290. PROTECT YOUR PASSWORD 
  291.  Never write it down or give it to anyone 
  292.  Don't use names, numbers or dates which are personally
  293.   identified with you 
  294.  Change it often, but change it immediately if you think it has
  295.   been compromised 
  296.  
  297. PROTECT YOUR FILES 
  298.  Don't allow unauthorized access to your files and data 
  299.  NEVER leave your equipment unattended with your password
  300.   activated - SIGN OFF! 
  301.  
  302. PROTECT AGAINST VIRUSES 
  303.  Don't use unauthorized software 
  304.  Back up your files before implementing ANY new software 
  305.  
  306. LOCK  UP STORAGE MEDIA CONTAINING SENSITIVE DATA 
  307.  If the data or information is sensitive or critical to your
  308.   operation, lock it up!   
  309.  
  310. BACK UP YOUR DATA 
  311.  Keep duplicates of your sensitive data in a safe place, out of
  312.   your immediate area 
  313.  Back it up as often as necessary 
  314.  
  315. REPORT SECURITY VIOLATIONS 
  316.  Tell your manager if you see any unauthorized changes to your
  317.   data  
  318.  Immediately report any loss of data or programs, whether
  319.   automated or hard copy  
  320.  
  321. FOR ADDITIONAL INFORMATION 
  322.  
  323. National Institute of Standards and Technology 
  324. Computer Security Program Office
  325. A-216 Technology
  326. Gaithersburg, MD 20899
  327. (301) 975-5200 
  328.  
  329. For further information on the management of information resources,
  330. NIST publishes Federal Information Processing Standards Publications
  331. (FIPS PUBS).  These publications deal with many aspects of computer
  332. security, including password usage, data encryption, ADP risk
  333. management and contingency planning, and computer system security
  334. certification and accreditation.  A list of current publications is
  335. available from:
  336.  
  337.                 Standards Processing Coordinator (ADP)
  338.                 National Computer Systems Laboratory
  339.                 National Institute of Standards and Technology
  340.                 Technology Building, B-64
  341.                 Gaithersburg, MD  20899
  342.                 Phone:   (301)  975-2817 
  343.  
  344.  
  345.