home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / hack / revblt.txt < prev    next >
Encoding:
Text File  |  1995-01-03  |  13.4 KB  |  284 lines
  1.                           NCSL BULLETIN
  2.                           OCTOBER, 1990
  3.  
  4.  
  5.                     REVIEW OF FEDERAL AGENCY 
  6.   COMPUTER SECURITY AND PRIVACY PLANS (CSPP):  A SUMMARY REPORT
  7.  
  8.  
  9. Sensitive information and information resources have become
  10. increasingly important to the functioning of the federal
  11. government.  The protection of such information is integral to
  12. the government serving the public trust.  Concern that federal
  13. agencies were not protecting their information caused Congress to
  14. enact Public Law 100-235, "Computer Security Act of 1987" (the
  15. Act).  The Act reaffirmed the National Institute of Standards and
  16. Technology's (NIST) computer security responsibilities.  These
  17. responsibilities include developing standards and guidelines to
  18. protect sensitive unclassified information.  Other
  19. responsibilities include providing new governmentwide programs in
  20. computer security awareness training and security planning.
  21.  
  22. The Act required federal agencies to conduct educational programs
  23. to increase staff awareness of the need for computer security. 
  24. The first-year activity included agencies identifying their
  25. computer systems containing sensitive information.  These
  26. agencies prepared and submitted security plans for those systems
  27. to the NIST and National Security Agency (NSA) review team for
  28. advice and comment.  This document summarizes a report on the
  29. review of the computer security and privacy plans that were
  30. submitted by federal agencies.
  31.  
  32. How The Reviews Were Conducted
  33.  
  34. The Office of Management and Budget (OMB) issued OMB Bulletin 88-
  35. 16, "Guidance for Preparation and Submission of Security Plans
  36. for Federal Computer Systems Containing Sensitive Information,"
  37. to guide agencies on preparing and submitting computer security
  38. plans.  The bulletin specified the information that was to appear
  39. in each plan.  The bulletin further requested that agencies
  40. identify systems as major application or general ADP support
  41. systems.  Finally, the bulletin provided the agency the option of
  42. identifying any needs for guidance or technical support.  This
  43. option also included making any comments the agency thought
  44. appropriate.  Although a four-part format appeared, agencies were
  45. able to use latitude as long as all pertinent information was
  46. present.  This permitted agencies with existing programs to
  47. submit current related documents.  Submission of an agency
  48. overview was optional and most agencies chose not to provide one.
  49.  
  50. The joint NIST/NSA review team examined 1,583 plans for 63
  51. federal civilian agencies and 27,992 plans from 441 Department of
  52. Defense (DoD) organizations.  Most DoD submissions consisted
  53. mainly of accreditation documentation prepared for other computer
  54. security planning purposes.  During the review process, the
  55. review team recorded data about the systems for analysis.  The
  56. conclusions made in this report stem principally, but not
  57. exclusively, from the civilian agency submissions.    
  58.  
  59. Major Findings
  60.  
  61. The review team arrived at a number of conclusions about the
  62. plans and the plan review process, seeing both many positive
  63. signs and some areas for improvement.  These findings include:
  64.  
  65.      o    The civilian agency CSPPs basically conformed with the
  66.           guidance given by OMB Bulletin 88-16.  Many controls to
  67.           protect sensitive systems were already in place or
  68.           planned.  These controls appeared consistent with
  69.           identified system functions, environment, and security
  70.           needs.  However, some respondents appeared to have just
  71.           "checked the boxes," perhaps presenting a falsely
  72.           optimistic picture.
  73.  
  74.      o    Many agencies appeared to report on isolated systems
  75.           rather than all systems subject to the Computer
  76.           Security Act and OMB Bulletin 88-16.
  77.  
  78.      o    Agencywide guidance on how to prepare the plans was not
  79.           clear.  There was also some question whether a high-
  80.           level official reviewed the plans.  Also unclear is the
  81.           distribution of agency-level computer security policy
  82.           and guidance.  Further, most plans did not reflect the
  83.           joint involvement of ADP, computer security, and
  84.           applications communities in computer security planning.
  85.  
  86.      o    Significantly, the plans rarely addressed the security
  87.           concerns on networking, interfaces with other systems,
  88.           and the use of contractors and their facilities.  This
  89.           may reflect a general confusion about the boundaries
  90.           and limits of responsibility for a given system.
  91.  
  92.      o    Many plans equated sensitivity only with privacy or
  93.           confidentiality and did not fully address requirements
  94.           for integrity and availability.  
  95.  
  96.      o    Most plans did not communicate an appreciation for the
  97.           role of risk management activities in computer security
  98.           planning.  
  99.  
  100.      o    Although most agencies said they had computer security
  101.           awareness and training, many did not show that all
  102.           applicable employees received periodic training.
  103.   
  104.      o    Finally, the CSPP submission and review effort raised
  105.           the level of federal awareness regarding the need to
  106.           protect sensitive information and the importance of
  107.           computer security planning.
  108.  
  109.  
  110.  
  111.  
  112. Recommendations for Agencies
  113.  
  114. Based on the needs that became apparent during the plan review,
  115. the review team recommends the following:
  116.  
  117.      o    Agency management should ensure that computer security
  118.           has the highest level of management involvement.  This
  119.           involvement is also important in the computer security
  120.           planning process.  Computer security benefits from the
  121.           multiple perspectives of and input from agency
  122.           information resources management, computer security,
  123.           and functional, user, and applications personnel.
  124.  
  125.      o    Agency management should identify and describe the
  126.           security needs of their systems which contain sensitive
  127.           information.
  128.  
  129.      o    Agency management should recognize the importance of
  130.           computer security and its required planning.  This
  131.           recognition should be aggressively communicated to
  132.           their staffs, perhaps using their computer security and
  133.           awareness training programs as one of the vehicles.
  134.  
  135.      o    Agencies should incorporate computer security planning
  136.           with other information systems planning activities.  
  137.  
  138.      o    Agencies should consider the protection requirements
  139.           for integrity and availability on an equal basis with
  140.           that of confidentiality.  
  141.  
  142.      o    Agencies should assess risks, and select and implement
  143.           realistic controls throughout the system life cycle. 
  144.           This involves awareness of technology changes with
  145.           regard to system hardware and software.  This awareness
  146.           also requires a knowledge of new technology and new
  147.           methods for protecting and recovering from system
  148.           threats.  In addition, agencies should fully document
  149.           in-place controls to ease periodic reevaluation,
  150.           internal audit, and oversight agency review. 
  151.  
  152.      o    Agencies should implement certification and
  153.           accreditation programs.  There is a lack of awareness
  154.           of guidance regarding certification and accreditation,
  155.           including FIPS PUB 102, "Guideline for Computer
  156.           Security Certification and Accreditation."  There is
  157.           also a lack of knowledge of the certification
  158.           requirements in OMB Circular A-130, "Management of
  159.           Federal Information Resources."  Agencies may use OMB
  160.           Circular A-130 as the basis for these programs.
  161.  
  162.      o    Agencies should clarify the boundaries and limits of
  163.           responsibility for each system, and should include, in
  164.           any planned risk assessment activity, full
  165.           consideration of the telecommunications and networking
  166.           environment and relationships with contractors and
  167.           other organizations.
  168.  
  169.      o    Agencies should stress security awareness and training
  170.           for their employees.  This includes all employees
  171.           involved in the design, management, development,
  172.           operation, or use of federal computer systems
  173.           containing sensitive information.  
  174.  
  175.      o    Agencies should develop computer security policy and
  176.           operative guidance.  Such policy and guidance should
  177.           fully reflect and comprehensively address an
  178.           encompassing view of computer security.  The Computer
  179.           Security Act, OMB Circular A-130, and OMB Bulletins 88-
  180.           16 and 89-17, "Federal Information Systems and
  181.           Technology Planning," and their successors all contain
  182.           this view.  The policy should directly address the full
  183.           scope of computer security planning and risk management
  184.           activities.  It must incorporate an application system
  185.           perspective and give more detailed consideration to
  186.           confidentiality, integrity, and availability protection
  187.           requirements.  
  188.  
  189. What NIST is Doing
  190.  
  191. NIST is evolving a strategy for helping federal agencies in
  192. identifying and protecting sensitive information systems.  This
  193. strategy shifts emphasis to the implementation of computer
  194. security plans, particularly those developed under OMB Bulletin
  195. 88-16.  It provides for visits by OMB, NIST, and NSA staff.  This
  196. group will provide direct comments, advice, and technical aid
  197. focused on the agency's implementation of the Act.
  198.  
  199. In addition to the agency visits described above, NIST has
  200. initiated the following computer security projects to help
  201. agencies more easily and effectively comply with the Computer
  202. Security Act:   
  203.  
  204.      o    NIST will develop standardized specifications and
  205.           language for federal government computer security
  206.           services contracts.
  207.  
  208.      o    NIST will develop a guidance document on computer
  209.           security in the ADP procurement cycle.
  210.  
  211.      o    NIST has recently published guidance on the use of
  212.           Trusted Systems.
  213.  
  214.      o    NIST will develop guidance on computer security
  215.           planning. 
  216.  
  217.      o    NIST has developed, and will continue to operate, a
  218.           computer incident response center in order to address
  219.           viruses, worms, and other malicious software attacks.
  220.  
  221.      o    NIST will support and coordinate computer security
  222.           resource and response centers nationwide.
  223.  
  224.      o    NIST will enhance and operate the National Computer
  225.           Systems Laboratory (NCSL) Computer Security Bulletin
  226.           Board System.
  227.  
  228.      o    NIST will operate the NIST/NSA Risk Management
  229.           Laboratory and prepare further guidelines on risk
  230.           management.
  231.  
  232.      o    NIST will develop guidance and recommendations on
  233.           assuring information integrity in computer systems.
  234.  
  235. In addition to the above plans, NIST has already developed a
  236. number of guidelines and other resources to help federal managers
  237. secure their computer systems.
  238.  
  239. Future Directions
  240.  
  241. Federal managers have computer security requirements that are
  242. similar to their counterparts in the private sector.  We believe
  243. that private sector organizations can learn and benefit from the
  244. federal experience in implementing the Computer Security Act.  In
  245. both environments, a vigorous computer security awareness program
  246. is important at all levels in the organization.  Also, in both
  247. environments, the active involvement of user, management, ADP,
  248. and computer security communities in computer security planning
  249. could help end some of the existing and potential barriers to
  250. effective computer security.  Such collective involvement would
  251. also help ensure cost-effective control measures commensurate
  252. with system function, system sensitivity, security requirements,
  253. and analyzed and considered risks.  
  254.  
  255. Agencies need to be aware of developments taking place in the
  256. national and international standards arena on system
  257. interoperability and data interchange.  These developments will
  258. impact information system product availability, protection
  259. requirements, and protection alternatives as agencies do their
  260. near-, mid-, and long-term IRM and computer security planning.
  261.  
  262. Finally, because agency awareness of problems is fundamental to
  263. the solution, this project has been valuable.  Computer security
  264. officers say that the CSPP preparation and review activity has
  265. raised the level of awareness in all parts of their organizations
  266. and has made it easier for them to promote computer security. 
  267. The CSPP review project significantly raised the level of federal
  268. awareness about the protection of sensitive information and the
  269. importance of computer security planning.  In the final analysis,
  270. this contribution may be among the most meaningful results of the
  271. project.
  272.  
  273.  
  274. The complete report of the CSPP review project will be published
  275. as an NIST Interagency Report (NISTIR), and will be available
  276. from the National Technical Information Service (NTIS) U.S.
  277. Department of Commerce, 5285 Port Royal Road, Springfield, 
  278. VA 22161.  Telephone: (703) 487-4650 FTS 737-4650.  For
  279. information about the report findings, contact Dennis Gilbert,
  280. National Institute of Standards and Technology, A216, Technology
  281. Building, Gaithersburg, MD  20899.  Telephone: (301) 975-3872.
  282.  
  283. Downloaded From P-80 International Information Systems 304-744-2253
  284.